Google a révélé mardi que plusieurs acteurs de la menace, notamment des adversaires étatiques et des groupes motivés par des raisons financières, exploitaient une faille de sécurité critique désormais corrigée dans RARLAB WinRAR pour établir un accès initial et déployer un large éventail de charges utiles.
“Découverts et corrigés en juillet 2025, des acteurs de menace soutenus par le gouvernement liés à la Russie et à la Chine, ainsi que des acteurs de menace motivés par des raisons financières, continuent d'exploiter cette journée dans le cadre d'opérations disparates”, a déclaré Google Threat Intelligence Group (GTIG).
“La méthode d'exploitation cohérente, une faille de traversée de chemin qui permet aux fichiers d'être placés dans le dossier de démarrage de Windows à des fins de persistance, souligne une lacune défensive dans la sécurité fondamentale des applications et dans la sensibilisation des utilisateurs.”
La vulnérabilité en question est CVE-2025-8088 (score CVSS : 8,8), qui a été corrigée par WinRAR version 7.13 publiée le 30 juillet 2025. L'exploitation réussie de la faille pourrait permettre à un attaquant d'exécuter du code arbitraire en créant des fichiers malveillants ouverts avec une version vulnérable du programme.
ESET, qui a découvert et signalé la faille de sécurité, a déclaré avoir observé le double groupe de menaces financières et d'espionnage connu sous le nom de RomCom (également connu sous le nom de CIGAR ou UNC4895) exploiter la faille en tant que jour zéro dès le 18 juillet 2025 pour diffuser une variante du malware SnipBot (également connu sous le nom de NESTPACKER). Il convient de noter que Google suit le groupe de menace derrière le déploiement de Cuba Ransomware sous le nom UNC2596.
La vulnérabilité a depuis été largement exploitée, avec des chaînes d'attaque cachant généralement le fichier malveillant, tel qu'un raccourci Windows (LNK), dans les flux de données alternatifs (ADS) d'un fichier leurre à l'intérieur du fichier, provoquant l'extraction de la charge utile vers un chemin spécifique (par exemple, le dossier de démarrage de Windows) et son exécution automatique une fois que l'utilisateur se connecte à la machine après un redémarrage.
Certains des autres acteurs russes de la menace qui ont sauté dans le train des exploits sont répertoriés ci-dessous :
- Sandworm (également connu sous les noms d'APT44 et FROZENBARENTS), qui a profité de la faille pour supprimer un fichier leurre avec un nom de fichier ukrainien et un fichier LNK malveillant qui tente d'autres téléchargements.
- Gamaredon (également connu sous le nom de CARPATHIAN), qui a exploité cette faille pour attaquer les agences gouvernementales ukrainiennes avec des archives RAR malveillantes contenant des fichiers d'application HTML (HTA) qui servent de téléchargeur dans un deuxième temps.
- Turla (également connu sous le nom de SUMMIT), qui a exploité cette faille pour diffuser le package malveillant STOCKSTAY à l'aide de pots de miel axés sur les activités militaires ukrainiennes et les opérations de drones.
GTIG a déclaré avoir également identifié un acteur basé en Chine utilisant CVE-2025-8088 pour délivrer Poison Ivy via un script batch placé dans le dossier de démarrage de Windows qui est ensuite configuré pour télécharger un compte-gouttes.
« Les auteurs de menaces motivés par des raisons financières ont également rapidement adopté cette vulnérabilité pour déployer des RAT et des voleurs d'informations contre des cibles commerciales », a-t-il ajouté. Certaines de ces attaques ont conduit à la mise en place de portes dérobées contrôlées par des robots Telegram et des familles de malwares comme AsyncRAT et XWorm.
Dans un autre cas mis en évidence par l'équipe de renseignement sur les menaces de Google, un groupe de cybercriminalité connu pour avoir attaqué des utilisateurs brésiliens via des sites Web bancaires aurait livré une extension Chrome malveillante capable d'injecter du JavaScript dans les pages de deux sites bancaires brésiliens pour fournir du contenu de phishing et voler des informations d'identification.
On pense que l’exploitation généralisée de la faille est le résultat d’une économie souterraine florissante, dans laquelle les vulnérabilités de WinRAR ont été annoncées pour des milliers de dollars. L'un de ces fournisseurs, “zeroplayer”, a commercialisé un exploit WinRAR à peu près au même moment, dans les semaines précédant la divulgation publique de CVE-2025-8088.
“L'activité continue de Zeroplayer en tant que fournisseur d'exploits met en évidence la marchandisation continue du cycle de vie des attaques”, a déclaré GTIG. « En fournissant des fonctionnalités prêtes à l'emploi, des acteurs comme Zeroplayer réduisent la complexité technique et les demandes en ressources des acteurs de la menace, permettant ainsi à des groupes aux motivations diverses […] pour exploiter un ensemble diversifié de capacités.
Ce développement intervient alors qu'une autre vulnérabilité WinRAR (CVE-2025-6218, score CVSS : 7,8) a également été exploitée par plusieurs acteurs malveillants, notamment GOFFEE, Bitter et Gamaredon, soulignant la menace posée par les vulnérabilités de N jours.
