Des pirates informatiques russes exploitent la vulnérabilité zero-day de WinRAR pour attaquer l'Europe et le Canada
Deux groupes de pirates informatiques russes ont exploité la vulnérabilité zero-day de WinRAR pour propager des logiciels malveillants via des e-mails de phishing, ciblant des cibles soigneusement sélectionnées.
Résumé rapide :
La vulnérabilité WinRAR CVE-2025-8088 est exploitée depuis des semaines, affectant des millions d'utilisateurs.
Deux groupes de pirates informatiques russes, RomCom et Paper Werewolf, ont exploité la vulnérabilité pour propager des logiciels malveillants.
Les techniques d'attaque incluent le détournement COM, l'installation de SnipBot, RustyClaw et Melting Claw.
WinRAR ne se met pas à jour automatiquement, il faut effectuer une mise à niveau vers la version 7.13 pour éviter les risques.
Vulnérabilité CVE-2025-8088 et comment l'exploiter
Le célèbre logiciel de compression de fichiers WinRAR vient de corriger une vulnérabilité critique CVE-2025-8088, exploitée pendant des semaines. Cette vulnérabilité de traversée de chemin exploite la fonctionnalité de flux de données alternatifs de Windows, permettant ainsi à des fichiers malveillants d'être décompressés dans des dossiers système tels que %TEMP% ou %LOCALAPPDATA, qui peuvent exécuter du code.
ESET a détecté des signes d'attaque le 18 juillet, en détectant des fichiers inhabituels dans des chemins d'accès inconnus. Six jours seulement après avoir été notifié, WinRAR a publié un correctif le 30 juillet (version 7.13).
RomCom et l'équipe Paper Werewolf exploitent conjointement
ESET a identifié le groupe RomCom – un groupe cybercriminel à motivation financière et présent depuis longtemps en Russie – comme étant à l'origine d'une partie de la campagne d'attaque. C'est la troisième fois que le groupe exploite une vulnérabilité zero-day dans une campagne ciblée.
L'entreprise russe de cybersécurité Bi.ZONE a notamment indiqué qu'un autre groupe, Paper Werewolf (également connu sous le nom de GOFFEE), exploitait également la vulnérabilité CVE-2025-8088 en parallèle. Paper Werewolf a également exploité la vulnérabilité CVE-2025-6218, une autre vulnérabilité WinRAR corrigée cinq semaines plus tôt, via des courriels se faisant passer pour des employés de l'Institut panrusse de recherche afin d'installer des logiciels malveillants sur les systèmes des victimes.
On ne sait pas encore si les deux groupes sont liés ou s’ils ont acheté des informations auprès de la même source sur le marché noir.
Chaîne d'attaque sophistiquée
Selon ESET, RomCom déploie trois principales chaînes d’attaque :
Détournement COM : les fichiers DLL malveillants dans les fichiers compressés sont déclenchés par des applications comme Microsoft Edge, décodant le shellcode pour vérifier les informations de la machine et installant l'outil d'attaque Mythic Agent si nécessaire.
Charge utile exécutable : exécute un fichier exécutable Windows pour installer SnipBot, un logiciel espion bloquant l'analyse virtuelle.
Logiciel malveillant multicouche : utilise d’autres logiciels malveillants comme RustyClaw et Melting Claw pour maintenir l’accès et le contrôle.
Risques liés aux mises à jour lentes de WinRAR
WinRAR a souvent été la cible de pirates informatiques en raison de son grand nombre d'utilisateurs (environ 500 millions) et de l'absence de mises à jour automatiques. Les utilisateurs doivent télécharger et installer eux-mêmes les correctifs, laissant de nombreux systèmes vulnérables pendant longtemps.
ESET recommande d'éviter toute version de WinRAR antérieure à 7.13 et de procéder immédiatement à la mise à jour pour corriger toutes les vulnérabilités connues.