Eset identifié Exploitation active d’une vulnérabilité Winrar Zero-Day (CVE-2025-8088) par deux groupes de cybercriminalité russes, RomCom et Paper Werewolf, avec une détection initiale le 18 juillet et une notification ultérieure aux développeurs de Winrar le 24 juillet, menant à un correctif six jours plus tard.
Le 18 juillet, les systèmes de télémétrie de ESET ont enregistré un chemin de fichier inhabituel, déclenchant une enquête. Le 24 juillet, ESET avait déterminé que cette activité anormale provenait de l’exploitation d’une vulnérabilité inconnue au sein de Winrar, une utilité de compression de fichiers largement utilisée avec environ 500 millions d’installations dans le monde. ESET a communiqué cette découverte aux développeurs de Winrar le même jour. Winrar a ensuite publié un correctif sur la vulnérabilité six jours suivant la notification de l’ESET.
La vulnérabilité identifiée, désormais désignée comme CVE-2025-8088, a exploité la fonction de flux de données alternatifs de Windows. Cette fonctionnalité spécifique permet de représenter plusieurs façons de représenter un seul chemin de fichier. L’exploit a mis à profit cette fonctionnalité pour déclencher une faille de traversée de chemin auparavant inconnue. Ce défaut a permis à Winrar de placer des fichiers exécutables malveillants dans des répertoires spécifiques choisi par l’attaquant, à savoir% Temp% et% localappdata%. Ces répertoires sont généralement limités par Windows en raison de leur capacité à exécuter du code, faisant de leur manipulation un contournement de sécurité important.
ESET a attribué les attaques observées à RomCom, une organisation de cybercriminalité motivée par la finance opérant en Russie. Ce groupe est toujours actif depuis plusieurs années, démontrant une capacité à acquérir et à déployer des exploits, ainsi que l’exécution de métiers sophistiqués dans leurs cyber opérations. L’exploitation du CVE-2025-8088 par RomCom souligne leur engagement à investir des ressources substantielles dans leurs cyber-opérations. Anton Cherepanov, Peter Strýček et Damien Schaeffer de ESET ont noté: «En exploitant une vulnérabilité zéro-jour inconnue à Winrar, le groupe Romcom a montré qu’il était disposé à investir de sérieux efforts et de ressources dans ses cyberopérations.
Le CVE-2025-8088 n’a pas été exploité exclusivement par RomCom. La société de sécurité russe Bi.zone a documenté indépendamment l’exploitation active de la même vulnérabilité par un groupe qu’il suit en papier-loup de papier, également connu sous le nom de Goffee. Bi.zone a également indiqué que le loup-garou en papier a exploité CVE-2025-6218, une vulnérabilité distincte de Winrar à haute sévérité qui avait reçu un correctif environ cinq semaines avant le correctif du CVE-2025-8088.
Bi.Zone a rapporté que le papier loup-garou a distribué des exploits en juillet et août. Ces exploits ont été livrés par le biais d’archives jointes aux messages e-mail usurpant l’empurrenté des employés de l’Institut de recherche entièrement russe. L’objectif de ces attaques était l’installation de logiciels malveillants, offrant au loup-garou en papier un accès non autorisé aux systèmes compromis. Alors que ESET et Bi.zone ont fait des découvertes indépendantes, tout lien entre les groupes ou l’origine de leurs connaissances d’exploitation reste non confirmée. Bi.zone a émis l’hypothèse que le loup-garou en papier pourrait avoir obtenu les vulnérabilités grâce à un forum sur la criminalité du marché sombre.
L’analyse par l’ESET des attaques a identifié trois chaînes d’exécution distinctes. Une chaîne, spécifiquement observée dans les attaques ciblant une organisation particulière, a impliqué un fichier DLL malveillant caché dans une archive. Cette DLL a été exécutée à l’aide d’une technique connue sous le nom de détournement de com, ce qui l’a amené à être lancé par des applications légitimes telles que Microsoft Edge. Le fichier DLL dans l’archive a déchiré ShellCode embarqué. Ce shellcode a ensuite récupéré le nom de domaine de la machine actuelle et l’a comparé à une valeur codée en dur. Si une correspondance s’est produite, le shellcode a procédé à l’installation d’une instance personnalisée du cadre d’exploitation d’agent mythique.
Une deuxième chaîne d’exécution impliquait un exécutable Windows malveillant qui a livré Snipbot, un malware connu ROMCOM, comme sa charge utile finale. Cette variante de Snipbot a incorporé des mécanismes anti-analyse, mettant fin à son exécution lorsqu’il est ouvert dans un environnement de machine virtuelle ou de bac à sable vide, une pratique courante utilisée par les logiciels malveillants pour échapper à l’examen médico-légal par les chercheurs.
La troisième chaîne d’exécution a utilisé deux autres morceaux de logiciels malveillants RomCom: Rustyclaw et Melting Claw. Les vulnérabilités de Winrar ont déjà été exploitées pour la distribution de logiciels malveillants. Une vulnérabilité de code-exécution identifiée en 2019 a été largement exploitée peu de temps après sa libération de patch. En 2023, un jour zéro winrar est resté non détecté et exploité pendant plus de quatre mois avant la découverte.
La base d’utilisateurs substantielle de Winrar, combinée à son manque de mécanisme de mise à jour automatisé, le rend un véhicule efficace pour la propagation des logiciels malveillants. Les utilisateurs doivent télécharger et installer manuellement des correctifs pour sécuriser leurs systèmes. ESET a également confirmé que les versions Windows des utilitaires de ligne de commande, UNRAR.DLL et le code source portable de l’UNRA sont également susceptibles de vulnérabilités. Les utilisateurs doivent être mis à jour vers Winrar version 7.13 ou version ultérieure, qui, au moment de ce rapport, était la version la plus récente et incluait des correctifs pour toutes les vulnérabilités connues.
