Archives par mot-clé : spearphishing

backdoor, Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

RomCom exploite une faille WinRAR zero‑day CVE‑2025‑8088

Laisser un commentaire

Une faille critique dans WinRAR exploitée par RomCom menace entreprises et administrations. Espionnage ciblé, spearphishing redoutable : l’Europe et le Canada sont directement dans le viseur.

Une vulnérabilité critique (CVE‑2025‑8088) dans WinRAR, exploitée par le groupe cyberespion RomCom aligné sur la Russie, a été découverte par ESET Research. Active entre le 18 et le 21 juillet 2025, cette campagne visait des secteurs stratégiques en Europe et au Canada : finance, défense, logistique, industrie. Disséminées via spear phishing, les archives piégées permettaient l’exécution de backdoors comme SnipBot, RustyClaw ou Mythic. Cette attaque sophistiquée marque une nouvelle escalade dans la guerre cyber et politique menée par des groupes APT russophones. WinRAR a corrigé la faille dès le 30 juillet 2025 via une mise à jour manuelle obligatoire vers la version 7.13. Le retard de correctif expose encore de nombreuses victimes potentielles.

Une faille invisible, une intrusion discrète

Le 18 juillet 2025, les analystes d’ESET détectent un comportement anormal dans une archive RAR transmise à une entreprise européenne de défense. Une DLL nommée msedge.dll, dissimulée dans un chemin d’extraction détourné, attire immédiatement leur attention. L’analyse révèle l’exploitation d’une faille jusqu’alors inconnue, touchant toutes les versions de WinRAR jusqu’à la 7.12 incluse.

Dénommée CVE‑2025‑8088, cette vulnérabilité exploite un mécanisme sournois : la traversée de chemin via les flux de données alternatifs NTFS. Résultat ? Un simple fichier extrait peut être redirigé vers des répertoires critiques du système, comme le dossier de démarrage de Windows. À la prochaine session, le code malveillant s’exécute sans déclencher d’alerte.

Le 24 juillet, ESET contacte le développeur de WinRAR. La réponse est immédiate : un correctif est intégré dans une version bêta, puis publié officiellement le 30 juillet dans la version 7.13. Mais attention : WinRAR ne propose aucune mise à jour automatique. Des millions d’utilisateurs pourraient donc encore être exposés sans le savoir.

Spearphishing ciblé et backdoors sur mesure

Entre le 18 et le 21 juillet 2025, RomCom lance une offensive de spearphishing contre plusieurs entreprises situées en Europe et au Canada. Les cibles sont choisies avec soin : finance, logistique, industrie manufacturière et défense. Les e-mails se présentent sous forme de candidatures professionnelles, CV à l’appui. Une fois l’archive RAR ouverte, la vulnérabilité est déclenchée.

Dans les cas observés par ESET, les charges utiles déployées sont variées mais convergent toutes vers un objectif d’espionnage. On retrouve la backdoor SnipBot, une version personnalisée de RustyClaw, et un agent Mythic configuré sur mesure. Ces implants sont conçus pour maintenir l’accès, exfiltrer des données et injecter des modules additionnels à distance.

RomCom — également connu sous les noms de Storm‑0978, Tropical Scorpius ou UNC2596 — est formellement attribué à cette campagne. ESET justifie cette attribution par une concordance complète des outils, méthodes et infrastructures déjà associées au groupe lors de précédentes attaques. RomCom est réputé pour ses opérations mêlant cybercriminalité classique et espionnage au service d’objectifs géopolitiques russes.

Un contexte géopolitique sous tension

La campagne RomCom s’inscrit dans une dynamique inquiétante. Depuis 2023, ce groupe cible les institutions occidentales sensibles, avec un pic d’activité lors de moments de tension internationale. En juin 2023, RomCom s’en était déjà pris à des entités européennes via des leurres liés au Congrès mondial ukrainien. Le choix des cibles 2025 — défense, finance, logistique — suggère une volonté claire d’interférer dans les structures stratégiques.

La faille CVE‑2025‑8088 a été ajoutée au catalogue KEV (Known Exploited Vulnerabilities) de la CISA américaine le 12 août 2025. Cela implique une obligation pour les agences fédérales de déployer un correctif immédiat sous peine de non-conformité aux directives de cybersécurité (BOD 22-01). Le score CVSS attribué à cette vulnérabilité est de 8,4, signe de sa criticité élevée.

Le plus alarmant reste la simultanéité d’exploitation par un second groupe : Paper Werewolf, alias GOFFEE, qui s’est approprié la même faille peu après. Cette double exploitation suggère une probable fuite ou vente privée de l’exploit, accentuant le danger de réutilisation dans des campagnes futures.

Dans cette nouvelle ère de guerre hybride, où les lignes entre cybercriminalité et renseignement s’effacent, la vulnérabilité WinRAR symbolise une faille bien plus large : celle d’un cyberespace vulnérable, traversé par des ambitions politiques masquées sous des lignes de code.

backdoor, Cybersécurité

Kimsuky, le code malveillant made un Corée du Nord

Les États-Unis et la Corée du Sud avertissent sur les méthodes d’espionnage du groupe de piratage nord-coréen Kimsuky, alias Thallium.

Dans un récent avertissement conjoint, les agences de renseignement des États-Unis et de la Corée du Sud ont décrit les méthodes d’espionnage employées par Kimsuky, un groupe de piratage nord-coréen notoire. Ce groupe cible principalement les groupes de réflexion, les universités et les médias dans le but de recueillir des renseignements. Selon l’avis publié jeudi, les pirates de Kimsuky utilisent des tactiques d’usurpation d’identité, se faisant passer pour des sources fiables afin de gagner la confiance de leurs cibles et d’obtenir des informations sur les événements géopolitiques, les stratégies de politique étrangère et les efforts diplomatiques des pays considérés comme une menace pour le régime nord-coréen.

Ces informations leur permettent également de créer des e-mails de phishing plus crédibles et plus percutants.

Il convient de noter que ce n’est pas la première fois que les États-Unis et leurs alliés mettent en garde contre les activités de Kimsuky, connu également sous les noms de TA406 et Thallium. Le groupe est actif depuis 2012 et cible principalement les diplomates, les organisations non gouvernementales, les groupes de réflexion et les experts en questions liées à la péninsule coréenne.

Kimsuky est contrôlé par le Bureau général de reconnaissance

Les agences de renseignement et les chercheurs en cybersécurité affirment que Kimsuky est contrôlé par le Bureau général de reconnaissance (RGB), l’organisation de renseignement militaire nord-coréenne, qui a été sanctionné par le Conseil de sécurité des Nations unies.

En réponse aux récentes activités de la Corée du Nord, la Corée du Sud a imposé de nouvelles sanctions aux membres présumés de Kimsuky, les accusant d’être impliqués dans le récent échec de lancement d’un satellite espion par la Corée du Nord. Selon le ministère sud-coréen, Kimsuky aurait participé, directement ou indirectement, au développement de satellites nord-coréens en volant des technologies avancées liées au développement d’armes, aux satellites et à l’espace.

La Corée du Nord a rejeté les critiques émanant des États-Unis et d’autres pays concernant son programme spatial, affirmant son droit souverain à l’exploration spatiale.

Les pirates de Kimsuky utilisent souvent des attaques de harponnage pour obtenir un premier accès à leurs cibles. Ils se font passer pour de vrais journalistes, universitaires ou chercheurs de groupes de réflexion ayant des liens crédibles avec les cercles politiques nord-coréens. Leur objectif est de s’introduire illégalement dans les documents, les recherches et les communications privées de leurs victimes.

Les renseignements obtenus grâce à ces opérations seraient d’une importance capitale pour la Corée du Nord

Les campagnes d’usurpation d’identité, telles que celles menées par Kimsuk y, sont dangereuses car certaines cibles peuvent sous-estimer la menace posée par ces attaques. Soit elles ne considèrent pas leurs recherches et leurs communications comme sensibles, soit elles ne sont pas conscientes de la manière dont ces efforts alimentent la stratégie plus large du régime nord-coréen en matière de cyberespionnage, a souligné l’avis.

Les opérations de harponnage de Kimsuky commencent généralement par une recherche et une préparation approfondies. Les pirates utilisent des informations disponibles publiquement pour identifier des cibles potentielles, puis adaptent leurs personnages en ligne afin de paraître plus réalistes et attrayants pour leurs victimes. Ils créent également des adresses e-mail qui ressemblent à celles de personnes réelles ou à des services Internet et sites de médias courants.

Les agences de renseignement qui ont publié le rapport estiment que la sensibilisation accrue à de telles campagnes et une connaissance de base en matière de cybersécurité pourraient réduire l’efficacité des opérations de harponnage menées par Kimsuky.

Les États-Unis encouragent les victimes à signaler les activités suspectes, y compris celles liées aux présumés pirates nord-coréens. Dans ce contexte, le programme de récompenses pour la justice du Département d’État peut accorder une récompense pouvant atteindre 5 millions de dollars en échange d’informations pertinentes.

La menace persistante posée par les activités de piratage d’État de Kimsuky souligne l’importance de la coopération internationale en matière de cybersécurité et de la vigilance continue des gouvernements, des institutions académiques et des médias. Alors que les groupes de piratage étatiques continuent d’évoluer et de perfectionner leurs techniques, il est essentiel de renforcer les mesures de protection et de sensibilisation pour faire face à cette menace croissante dans le cyberespace.

Kimsuky alias TA406 / Thallium

Ce groupe nord-coréen de menaces persistantes avancées (APT), est aussi connu sous le nom de TA406. En mars 2023 une nouvelle campagne de spearphishing ciblant des experts de la péninsule coréenne, selon les avertissements émis par les agences gouvernementales allemandes et sud-coréennes. La campagne utilise deux méthodes d’attaque : l’infection des téléphones Android via une application malveillante sur Google Play et l’utilisation d’une extension malveillante du navigateur web Chromium. A l’époque, l’avis conjoint publié par l’Agence allemande de protection constitutionnelle et le Service national de renseignement de la République de Corée décrivait une campagne très ciblée axée sur des victimes connues. Les agences de renseignement sud-coréennes estiment que cette attaque visait principalement les experts de la péninsule coréenne et de la Corée du Nord. Cependant, étant donné que les techniques utilisées peuvent être universellement appliquées, elles pouvaient également être utilisées par des groupes de réflexion en affaires étrangères et en sécurité du monde entier, ainsi que par des individus non spécifiés.

Comme lors de précédentes campagnes, Kimsuky utilise des attaques de spearphishing pour obtenir un accès initial en se faisant passer pour des administrateurs de portails et des connaissances. Dans certains cas, les e-mails incitent à l’installation d’une extension malveillante sur les navigateurs basés sur Chromium, qui est automatiquement activée. Lorsque les victimes ouvrent Gmail, le programme vole leurs e-mails, qui sont envoyés à un serveur appartenant aux attaquants.

Dans une autre attaque, les acteurs de Kimsuky ajoutaient une application malveillante à la console Google Play pour des « tests internes » et donnaient la permission à une personne ciblée d’y accéder. Après avoir obtenu les identifiants de connexion lors d’une attaque de spearphishing, ils téléchargaient l’application via le compte de la victime, qui est ensuite synchronisée sur leur smartphone Android. Selon l’avis, les acteurs ont volé à la fois des e-mails et des données stockées dans le cloud.

Une alerte d’octobre 2020 de l’Agence américaine de cybersécurité et d’infrastructure décrivait déjà Kimsuky comme étant « probablement chargé par le régime nord-coréen d’une mission mondiale de collecte de renseignements ». Dans certains cas, les pirates se faisaient passer pour des journalistes sud-coréens pour accéder à leurs cibles.