Le système de détection EXPMON a identifié un fichier PDF malveillant qui exploite une vulnérabilité inédite dans la dernière version d'Adobe Reader. Les attaquants utilisent ce document pour siphonner des données locales et préparer des infections plus lourdes sans que l'utilisateur n'ait besoin de cliquer sur un lien.
Des pirates exploitent actuellement une faille de sécurité non répertoriée qui touche le logiciel de lecture de documents le plus utilisé au monde: Adobe Reader. L’alerte vient du chercheur Haifei Li, qui gère la plateforme d’analyse de menaces EXPMON, après avoir découvert un échantillon suspect baptisé « yummy_adobe_exploit_uwu.pdf » sur les moteurs d'analyse publics le 23 mars dernier. Cette attaque de type zero-day permet à un tiers de lire des fichiers arbitraires sur un ordinateur Windows dès l'ouverture du document en contournant les barrières de protection habituelles, les sandboxes. Adobe n'a pas encore diffusé de mise à jour pour colmater cette brèche, ce qui laisse les entreprises et les particuliers sans défense officielle et donc vulnérables.
Le tri sélectif des victimes par empreinte numérique
L'analyse technique du script JavaScript caché dans le PDF montre une méthode de ciblage plutôt chirurgicale. Les auteurs de l’attaque ont intégré du code obfusqué en Base64 pour échapper aux antivirus classiques, dont le taux de détection initial était très bas. Une fois le document ouvert, le logiciel malveillant utilise l’interface de programmation interne util.readFileIntoStream() pour fouiller le disque dur de la victime. Haifei Li précise que le malware récupère d'abord la version exacte du système d'exploitation, les paramètres de langue et le chemin d'accès au fichier.
Ces informations repartent vers un serveur distant situé à l'adresse IP 169.40.2.68. Cette étape sert à établir une empreinte numérique précise de la machine infectée. Si le profil correspond aux objectifs des pirates, le serveur renvoie une seconde charge utile chiffrée. Avec cette stratégie de « filtrage », les attaquants ne grillent pas tous leurs outils les plus précieux sur des cibles sans intérêt ou sur des machines de chercheurs en sécurité. Les tests dynamiques ont prouvé que le système peut exfiltrer des fichiers sensibles, comme des éléments du répertoire System32, prouvant ainsi la réalité du vol de données.
Un vecteur d'attaque actif depuis l'automne 2025
Les investigations montrent que cette campagne de cyberespionnage dure depuis un bon bout de temps. Greg Lesnewich, un autre spécialiste de la menace, a mis la main sur une variante de ce même exploit dont les premières traces remontent au 28 novembre 2025. Cette découverte indique que des groupes organisés utilisent probablement cette faille dans l'ombre depuis au moins quatre mois. Cette version plus ancienne communiquait avec une autre infrastructure technique, localisée sur l'adresse 188.214.34.20, ce qui confirme l'existence d'une infrastructure de commande robuste et évolutive.
Le risque principal concerne désormais l'escalade des privilèges. Bien que l'échantillon actuel se concentre sur l'espionnage, le mécanisme permet d'injecter n'importe quel code JavaScript une fois la connexion établie. Adobe Security a reçu les détails de la vulnérabilité mais n'a pas communiqué de calendrier pour le déploiement d'un patch. Dans l'attente, les administrateurs réseau surveillent les flux HTTP et HTTPS pour repérer la signature « Adobe Synchronizer » dans les échanges avec le réseau.
Pour vous protéger efficacement, vous devez d'abord limiter l'usage du logiciel complet d'Adobe pour les fichiers dont vous ne connaissez pas l'origine exacte. Préférez systématiquement l'ouverture de vos PDF via votre navigateur web, car Chrome ou Firefox disposent de protections isolées qui bloquent souvent l'exécution des scripts malveillants. Pensez également à désactiver manuellement le JavaScript dans les préférences de votre application Adobe Reader, puisque c'est précisément ce moteur que les pirates utilisent pour fouiller votre ordinateur. Enfin, méfiez-vous des documents reçus par mail, même s'ils semblent provenir d'un proche, car une identité usurpée reste le moyen le plus simple pour vous inciter à ouvrir un piège numérique.
Source : CybersecurityNews
