Archives par mot-clé : ESET

Cyber-attaque, Cybersécurité, Entreprise, Piratage

Turla et Gamaredon, la collaboration inédite de deux APT russes

Deux cybergroupes affiliés au Kremlin ont été repérés collaborant en Ukraine, une première documentée par des chercheurs.

Pour la première fois, des chercheurs en cybersécurité observe une coopération directe entre Turla et Gamaredon, deux APT russes habituellement distincts. Selon les chercheurs, Gamaredon infecte massivement les machines en Ukraine tandis que Turla sélectionne ensuite les cibles d’intérêt, souvent riches en informations stratégiques. Cette combinaison illustre une coordination cyber offensive pilotée par le renseignement russe, avec des implications majeures pour la sécurité numérique européenne et militaire.

Une alliance inédite repérée en Ukraine

L’éditeur de solution de sécurité informatique ESET a découvert que des appareils de grande valeur en Ukraine présentaient des traces simultanées de malwares issus de Turla et Gamaredon. Dans plusieurs cas, Turla a exploité des machines déjà compromises par Gamaredon. Les chercheurs notent que cette synergie n’est pas fortuite : tous deux travaillent probablement sous l’égide du FSB, l’agence de renseignement russe.

Gamaredon est réputé pour ses attaques massives et peu discrètes. Son objectif consiste à aspirer rapidement un maximum de données sans s’embarrasser de techniques d’effacement. Turla, à l’inverse, est considéré comme l’un des groupes APT les plus sophistiqués au monde. Lié à des attaques contre le Pentagone en 2008, le ministère allemand des Affaires étrangères et l’armée française, il privilégie des cibles réduites mais hautement sensibles, en utilisant notamment l’internet par satellite pour brouiller son origine.

Des rôles complémentaires dans l’espionnage numérique

L’analyse montre que Turla a pu envoyer des commandes à des machines compromises grâce aux accès ouverts par Gamaredon. Ce scénario confirme une chaîne de collaboration où Gamaredon sert de porte d’entrée large et bruyante, tandis que Turla exploite ensuite une sélection restreinte de machines stratégiques. Cette répartition des tâches pourrait accroître l’efficacité globale des opérations du FSB dans la guerre cyber en cours contre l’Ukraine.

La stratégie de Turla repose sur la furtivité et le ciblage fin. Celle de Gamaredon repose sur la prolifération rapide et l’effet de masse. Ensemble, elles permettent à Moscou de combiner collecte massive et exploitation chirurgicale des données sensibles, un schéma rarement observé dans le cyberespace.

Il s’agit de la première preuve tangible d’une coopération directe entre les deux groupes. Ce constat éclaire un mode opératoire plus coordonné des opérations cyber russes. Les chercheurs estiment que Gamaredon compromet des centaines, voire des milliers, d’appareils en Ukraine, tandis que Turla ne s’intéresse qu’aux systèmes contenant des informations critiques.

Une telle collaboration pourrait transformer le rapport de force cyber, en rendant plus difficile la détection et la neutralisation de ces attaques. Pour l’Ukraine et ses alliés, l’enjeu devient d’identifier les passerelles créées par Gamaredon et exploitées par Turla avant qu’elles ne servent à des intrusions à haute valeur stratégique.

Cette alliance tactique entre Turla et Gamaredon illustre une industrialisation du renseignement cyber orchestrée par Moscou. La question centrale reste : jusqu’où cette coopération pourra-t-elle étendre la portée et l’efficacité des opérations russes contre les infrastructures ukrainiennes et occidentales ? (ESET Research)

backdoor, Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

RomCom exploite une faille WinRAR zero‑day CVE‑2025‑8088

Une faille critique dans WinRAR exploitée par RomCom menace entreprises et administrations. Espionnage ciblé, spearphishing redoutable : l’Europe et le Canada sont directement dans le viseur.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Une vulnérabilité critique (CVE‑2025‑8088) dans WinRAR, exploitée par le groupe cyberespion RomCom aligné sur la Russie, a été découverte par ESET Research. Active entre le 18 et le 21 juillet 2025, cette campagne visait des secteurs stratégiques en Europe et au Canada : finance, défense, logistique, industrie. Disséminées via spear phishing, les archives piégées permettaient l’exécution de backdoors comme SnipBot, RustyClaw ou Mythic. Cette attaque sophistiquée marque une nouvelle escalade dans la guerre cyber et politique menée par des groupes APT russophones. WinRAR a corrigé la faille dès le 30 juillet 2025 via une mise à jour manuelle obligatoire vers la version 7.13. Le retard de correctif expose encore de nombreuses victimes potentielles.

Une faille invisible, une intrusion discrète

Le 18 juillet 2025, les analystes d’ESET détectent un comportement anormal dans une archive RAR transmise à une entreprise européenne de défense. Une DLL nommée msedge.dll, dissimulée dans un chemin d’extraction détourné, attire immédiatement leur attention. L’analyse révèle l’exploitation d’une faille jusqu’alors inconnue, touchant toutes les versions de WinRAR jusqu’à la 7.12 incluse.

Dénommée CVE‑2025‑8088, cette vulnérabilité exploite un mécanisme sournois : la traversée de chemin via les flux de données alternatifs NTFS. Résultat ? Un simple fichier extrait peut être redirigé vers des répertoires critiques du système, comme le dossier de démarrage de Windows. À la prochaine session, le code malveillant s’exécute sans déclencher d’alerte.

Le 24 juillet, ESET contacte le développeur de WinRAR. La réponse est immédiate : un correctif est intégré dans une version bêta, puis publié officiellement le 30 juillet dans la version 7.13. Mais attention : WinRAR ne propose aucune mise à jour automatique. Des millions d’utilisateurs pourraient donc encore être exposés sans le savoir.

Spearphishing ciblé et backdoors sur mesure

Entre le 18 et le 21 juillet 2025, RomCom lance une offensive de spearphishing contre plusieurs entreprises situées en Europe et au Canada. Les cibles sont choisies avec soin : finance, logistique, industrie manufacturière et défense. Les e-mails se présentent sous forme de candidatures professionnelles, CV à l’appui. Une fois l’archive RAR ouverte, la vulnérabilité est déclenchée.

Dans les cas observés par ESET, les charges utiles déployées sont variées mais convergent toutes vers un objectif d’espionnage. On retrouve la backdoor SnipBot, une version personnalisée de RustyClaw, et un agent Mythic configuré sur mesure. Ces implants sont conçus pour maintenir l’accès, exfiltrer des données et injecter des modules additionnels à distance.

RomCom — également connu sous les noms de Storm‑0978, Tropical Scorpius ou UNC2596 — est formellement attribué à cette campagne. ESET justifie cette attribution par une concordance complète des outils, méthodes et infrastructures déjà associées au groupe lors de précédentes attaques. RomCom est réputé pour ses opérations mêlant cybercriminalité classique et espionnage au service d’objectifs géopolitiques russes.

Un contexte géopolitique sous tension

La campagne RomCom s’inscrit dans une dynamique inquiétante. Depuis 2023, ce groupe cible les institutions occidentales sensibles, avec un pic d’activité lors de moments de tension internationale. En juin 2023, RomCom s’en était déjà pris à des entités européennes via des leurres liés au Congrès mondial ukrainien. Le choix des cibles 2025 — défense, finance, logistique — suggère une volonté claire d’interférer dans les structures stratégiques.

La faille CVE‑2025‑8088 a été ajoutée au catalogue KEV (Known Exploited Vulnerabilities) de la CISA américaine le 12 août 2025. Cela implique une obligation pour les agences fédérales de déployer un correctif immédiat sous peine de non-conformité aux directives de cybersécurité (BOD 22-01). Le score CVSS attribué à cette vulnérabilité est de 8,4, signe de sa criticité élevée.

Le plus alarmant reste la simultanéité d’exploitation par un second groupe : Paper Werewolf, alias GOFFEE, qui s’est approprié la même faille peu après. Cette double exploitation suggère une probable fuite ou vente privée de l’exploit, accentuant le danger de réutilisation dans des campagnes futures.

Dans cette nouvelle ère de guerre hybride, où les lignes entre cybercriminalité et renseignement s’effacent, la vulnérabilité WinRAR symbolise une faille bien plus large : celle d’un cyberespace vulnérable, traversé par des ambitions politiques masquées sous des lignes de code.