Corrigée depuis l’été 2025, une faille critique de WinRAR continue pourtant d’être exploitée dans des attaques bien réelles. Google Threat Intelligence Group décrit un même schéma d’infection, avec des archives piégées utilisées pour déposer des fichiers persistants sur des systèmes Windows encore non corrigés.
Faut-il encore le rappeler ? Un correctif publié ne protège personne tant qu’il n’est pas installé. La preuve par l’exemple avec WinRAR, patché l’été dernier après la découverte d’une faille permettant l’exécution de code à distance par le biais d’une archive piégée. Six mois plus tard, les équipes de Google Threat Intelligence Group (GTIG) viennent de confirmer que la vulnérabilité reste activement exploitée, tant par des acteurs étatiques que par des cybercriminels motivés par l’argent. Si vous n’avez toujours pas procédé à vos mises à jour de sécurité, vous savez ce qu’il vous reste à faire.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un fichier peut en cacher un autre
Pour rappel, la faille en question, référencée CVE-2025-8088 (CVSS 8.4), repose sur un défaut de type path traversal dans WinRAR. Dans le cas présent, une archive RAR spécialement conçue peut détourner le processus d’extraction et forcer l’outil à déposer un fichier en dehors du répertoire choisi, vers un emplacement arbitraire du système.
L’exploitation s’appuie sur les Alternate Data Streams de NTFS, une fonctionnalité du système de fichiers Windows qui permet à un fichier d’en contenir un autre, dissimulé. Concrètement, un document apparemment banal, comme un PDF, peut embarquer un second contenu invisible, qui n’apparaît ni dans l’explorateur de fichiers ni à l’ouverture du document.
Dans les campagnes observées par le GTIG, l’archive contient donc un document leurre crédible, tandis qu’un second contenu malveillant, caché dans un flux ADS, est extrait en parallèle vers un répertoire sensible, souvent le dossier de démarrage de Windows. Un choix tout sauf anecdotique, puisque tout fichier déposé à cet endroit est exécuté automatiquement à l’ouverture de la session, ce qui suffit à relancer la charge utile à chaque connexion.
Une vulnérabilité au cœur d’un marché d’exploits prêt à l’emploi
Google situe les premières exploitations au 18 juillet 2025 et confirme qu’elles sont toujours très actives en janvier 2026. Côté espionnage, plusieurs acteurs liés à la Russie, dont UNC4895 (RomCom), APT44 (Sandworm), TEMP.Armageddon (CARPATHIAN) et Turla (SUMMIT), s’appuient sur CVE-2025-8088 pour viser des entités militaires et gouvernementales ukrainiennes. Même logique côté Chine, Google évoquant un acteur lié à Pékin observé en train d’exploiter la vulnérabilité pour diffuser le malware Poison Ivy.
En parallèle, la faille a rapidement quitté le périmètre des opérations d’espionnage pour alimenter des campagnes nettement plus opportunistes, impliquant des charges très différentes selon les cibles, RAT grand public (XWorm, AsyncRAT), stealers, backdoors pilotées depuis Telegram, ou extension Chrome conçue pour voler des identifiants bancaires.
Cette diversité d’usages tient aussi à l’existence d’un marché d’exploits structuré, avec des fournisseurs capables de livrer des chaînes d’attaque prêtes à l’emploi. Le rapport cite notamment zeroplayer, qui a fait la promotion d’un exploit WinRAR dès juillet 2025 et commercialise aussi des exploits visant Microsoft Office, Windows, un fournisseur de VPN d’entreprise non nommé, ainsi que diverses solutions antivirus et EDR, pour des montants pouvant atteindre plusieurs centaines de milliers de dollars.
Ce que vous devez faire pour limiter les risques
Bref, si vous ne l’avez pas encore fait, mettez à jour WinRAR sans délai. Le patch avait été diffusé dès la fin du mois de juillet dernier avec la version 7.13, toujours d’actualité.
De manière générale, il est également conseillé de redoubler de prudence face aux archives reçues par mail ou messagerie, de filtrer les pièces jointes quand c’est possible, de contrôler régulièrement le contenu du dossier de démarrage Windows, de maintenir une solution de sécurité à jour, antivirus ou EDR, et, en environnement professionnel, de surveiller les écritures et les exécutions déclenchées au démarrage.
Source : Google Threat Intelligence Group
