Deux groupes de hackers liés aux services de renseignement russes exploitent activement une faille de WinRAR corrigée depuis juillet 2025 pour voler des identifiants et des documents à des cibles militaires et gouvernementales ukrainiennes.
On prend les mêmes et on recommence. CVE-2025-8088 autorise un attaquant à écrire des fichiers en dehors du dossier d'extraction prévu d'une archive WinRAR, via les flux de données alternatifs NTFS. RARLAB a publié le correctif dans WinRAR 7.13 le 30 juillet dernier, mais l'exploitation active avait commencé au moins douze jours plus tôt, notée 8,4 sur l'échelle CVSS. En configuration d'entreprise, WinRAR ne notifie pas les administrateurs d'une nouvelle version disponible, et dans les organisations ukrainiennes, on l'utilise copieusement au quotidien.
Deux groupes distincts, Gamaredon et SHADOW-EARTH-066, ont chacun bâti une chaîne d'exploitation autour de cette même vulnérabilité, avec des malwares différents et des objectifs de renseignement divergents. Comme nous l'évoquions le mois dernier, la société française HarfangLab avait déjà documenté la campagne Gamaredon en détail. Trend Micro y ajoute SHADOW-EARTH-066, un groupe jusqu'ici moins connu, suivi par le CERT ukrainien sous l'identifiant UAC-0226.
Gamaredon et SHADOW-EARTH-066 déploient chacun un stealer différent via la même archive piégée
Gamaredon, Earth Dahu pour Trend Micro et que l'on rattache au FSB russe, exploite CVE-2025-8088 dans ses attaques depuis au moins septembre 2025. La victime reçoit un e-mail de spear-phishing avec une archive RAR piégée. L'exploit écrit un fichier HTA hors du dossier d'extraction prévu. Ce fichier charge GammaPhish, un chargeur VBScript qui télécharge à son tour GammaLoad, un backdoor conçu pour s'ancrer dans le système au démarrage et récupérer les modules suivants. GammaLoad dépose enfin GammaSteel, le module d'exfiltration principal, qui surveille les modifications de fichiers en temps réel et transmet documents et captures d'écran aux opérateurs. La société française Sekoia a corroboré cette chaîne indépendamment et précisé que le groupe concentre ses opérations sur les forces de l'ordre, l'armée et les administrations ukrainiennes.
SHADOW-EARTH-066 a adopté la même faille WinRAR après avoir longtemps utilisé des macros Excel. Depuis que Microsoft bloque les macros par défaut dans les fichiers téléchargés, les archives piégées contournent plus facilement les défenses. L'archive déployée par ce groupe contient un PDF leurre et trois charges dissimulées dans des flux ADS. L'une de ces charges, un fichier LNK, atterrit dans le dossier de démarrage Windows et Windows l'exécute automatiquement à chaque connexion. Un chargeur PowerShell lance alors GIFTEDCROOK, un stealer qui extrait les mots de passe et cookies de session dans Chrome, Edge, Opera et Firefox, puis récupère des documents selon leur extension, 35 formats au total, précisent les chercheurs Hiroyuki Kakara et Feike Hacquebord. Une fois l'exfiltration terminée, le malware supprime ses propres artefacts pour ne laisser aucune trace.
RomCom exploitait déjà la faille avant le correctif, et Gamaredon a depuis abandonné Telegram
Gamaredon a également abandonné Telegram comme canal d'exfiltration. Historiquement, le groupe utilisait des bots et des canaux Telegram pour rapatrier les données volées. Depuis le début de cette année, Gamaredon a migré vers des serveurs de commande et contrôle dédiés. Le 10 février, la Russie a bridé le trafic Telegram. Depuis, les transferts couverts depuis le territoire russe ne passent plus de façon fiable par la plateforme.
RomCom, un troisième groupe russophone, avait déjà armé CVE-2025-8088 avant même la publication du correctif de juillet 2025. En tout, au moins trois groupes distincts ont construit des chaînes d'attaque autour de la même faille. Des acteurs liés à des opérations chinoises ont également exploité CVE-2025-8088 contre des agences gouvernementales en Asie du Sud-Est, selon Check Point. Entre la disponibilité d'un patch et son déploiement réel, on compte en moyenne plusieurs mois d'exposition, et WinRAR n'automatise pas cette étape en environnement professionnel.
GIFTEDCROOK va chercher en priorité les cookies de session. Avec eux, on accède aux portails internes et aux messageries sans mot de passe supplémentaire, et les opérateurs peuvent progresser vers d'autres machines du réseau sans déclencher d'alerte d'authentification. La version 7.13 date du 30 juillet 2025 et reste disponible sur le site de RARLAB.
Si vous êtes admin ou DSI et ne pouvez pas déployer la mise à jour immédiatement, vous pouvez tout de même bloquer les flux NTFS ADS au niveau de la passerelle de messagerie.
Source : TheHackerNews
