Se connecter
Inscription
Mot de passe perdu
Entreprises européennes et canadiennes cibles de RomCom, groupe russe, par une nouvelle vulnérabilité - ESET Research
Publié le 12/08/2025 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• L'analyse de l'exploit a permis de découvrir la vulnérabilité, identifiée comme CVE-2025-8088 : une vulnérabilité de traversée de chemin, rendue possible par l'utilisation de flux de données alternatifs. Suite à cette notification, WinRAR a publié, le 30 juillet 2025, une version corrigée.
• Des tentatives d'exploitation réussies ont permis d'accéder à diverses portes dérobées utilisées par RomCom, dont une variante de SnipBot, RustyClaw et l'agent Mythic.
• Cette campagne visait des entreprises du secteur de la finance, de l'industrie manufacturière, de la défense et de la logistique tant en Europe qu’au Canada.
Bratislava, le 12 août 2025 — Les chercheurs d'ESET ont découvert, dans WinRAR, une vulnérabilité jusqu'alors inconnue, exploitée par le groupe RomCom lié à la Russie. Selon la télémétrie d'ESET, des archives malveillantes ont été utilisées dans des campagnes de spearphishing entre le 18 et le 21 juillet dernier, visant des entreprises du secteur de la finance, de l'industrie, de la défense et de la logistique en Europe et au Canada. Il s’agissait d’attaques de cyberespionnage. C'est la troisième fois que RomCom est surpris en exploitant une vulnérabilité zero-day significative.
« Le 18 juillet, nous avons détecté msedge.dll, une DLL malveillante, dans une archive RAR contenant des chemins d'accès inhabituels qui ont retenu notre attention. Après une analyse approfondie, nous découvrions que les attaquants exploitaient une vulnérabilité jusqu'alors inconnue affectant WinRAR, dont la version du moment 7.12. Le 24 juillet, nous contactions le développeur de WinRAR ; le jour- même, la vulnérabilité était corrigée en version bêta, suivie d'une version complète publiée quelques jours plus tard. Aux utilisateurs de WinRAR, nous conseillons d'installer la dernière version dès que possible afin de limiter les risques », explique Peter Strýček, le chercheur d’ESET qui a fait cette découverte avec Anton Cherepanov, autre chercheur d’ESET. La vulnérabilité, CVE-2025-8088, est du type « path traversal », rendue possible par l'utilisation de flux alternatifs de données.
Sous la forme d’un document de candidature, les archives piratées exploitaient un flux de traversée de chemin pour compromettre leurs cibles. Dans le mail de spearphishing, les attaquants envoyaient un CV, espérant qu'une cible curieuse l'ouvrirait. Selon la télémétrie d'ESET, aucune cible n'a été compromise. Au préalable, les attaquants avaient effectué une reconnaissance et les mails étaient bien ciblés. Les tentatives d'exploitation réussies ont permis d'accéder à diverses portes dérobées utilisées par RomCom, dont une variante de SnipBot, RustyClaw et l'agent Mythic.
Selon ESET Research, les activités observées sont liées à RomCom avec un haut degré de confiance compte tenu de la région ciblée, des tactiques, techniques et procédures (TTP) et du maliciel utilisé. RomCom (connu aussi sous les noms de Storm-0978, Tropical Scorpius ou UNC2596) est un groupe pro-russe menant des campagnes opportunistes contre des secteurs d'activité spécifiques et des opérations d'espionnage ciblées. Le groupe se concentre sur des opérations d'espionnage collectant des renseignements, et des opérations de cybercriminalité plus classiques. La porte dérobée utilisée peut exécuter des commandes et télécharger des modules supplémentaires sur la machine de la victime. Ce n'est pas la première fois que RomCom utilise des exploits pour compromettre ses victimes. En juin 2023, le groupe a mené une campagne de spearphishing ciblant des entités gouvernementales et de défense en Europe, avec des leurres liés au Congrès Mondial Ukrainien.
« En exploitant une vulnérabilité zero-day jusqu'alors inconnue dans WinRAR, le groupe RomCom a montré sa volonté de faire des efforts et de mettre des ressources importantes dans ses cyberopérations. La campagne découverte visait des secteurs s'alignant sur les intérêts habituels des groupes APT pro-russes, suggérant une motivation géopolitique de l’opération », conclut Strýček.
Pour une analyse plus détaillée et technique de la dernière campagne de RomCom, consultez le dernier blog d’ESET Research “Update WinRAR tools now: RomCom and others exploiting zero-day vulnerability” sur www.WeLiveSecurity.com . Suivez ESET Research sur X, BlueSky et Mastodon pour rester informé(e) des dernières actualités.
A propos d’ESET
ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation faciles. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com ou suivez nos réseaux sociaux, podcasts, blogs et https://www.est.com/be-fr/.
• Des tentatives d'exploitation réussies ont permis d'accéder à diverses portes dérobées utilisées par RomCom, dont une variante de SnipBot, RustyClaw et l'agent Mythic.
• Cette campagne visait des entreprises du secteur de la finance, de l'industrie manufacturière, de la défense et de la logistique tant en Europe qu’au Canada.
Bratislava, le 12 août 2025 — Les chercheurs d'ESET ont découvert, dans WinRAR, une vulnérabilité jusqu'alors inconnue, exploitée par le groupe RomCom lié à la Russie. Selon la télémétrie d'ESET, des archives malveillantes ont été utilisées dans des campagnes de spearphishing entre le 18 et le 21 juillet dernier, visant des entreprises du secteur de la finance, de l'industrie, de la défense et de la logistique en Europe et au Canada. Il s’agissait d’attaques de cyberespionnage. C'est la troisième fois que RomCom est surpris en exploitant une vulnérabilité zero-day significative.
« Le 18 juillet, nous avons détecté msedge.dll, une DLL malveillante, dans une archive RAR contenant des chemins d'accès inhabituels qui ont retenu notre attention. Après une analyse approfondie, nous découvrions que les attaquants exploitaient une vulnérabilité jusqu'alors inconnue affectant WinRAR, dont la version du moment 7.12. Le 24 juillet, nous contactions le développeur de WinRAR ; le jour- même, la vulnérabilité était corrigée en version bêta, suivie d'une version complète publiée quelques jours plus tard. Aux utilisateurs de WinRAR, nous conseillons d'installer la dernière version dès que possible afin de limiter les risques », explique Peter Strýček, le chercheur d’ESET qui a fait cette découverte avec Anton Cherepanov, autre chercheur d’ESET. La vulnérabilité, CVE-2025-8088, est du type « path traversal », rendue possible par l'utilisation de flux alternatifs de données.
Sous la forme d’un document de candidature, les archives piratées exploitaient un flux de traversée de chemin pour compromettre leurs cibles. Dans le mail de spearphishing, les attaquants envoyaient un CV, espérant qu'une cible curieuse l'ouvrirait. Selon la télémétrie d'ESET, aucune cible n'a été compromise. Au préalable, les attaquants avaient effectué une reconnaissance et les mails étaient bien ciblés. Les tentatives d'exploitation réussies ont permis d'accéder à diverses portes dérobées utilisées par RomCom, dont une variante de SnipBot, RustyClaw et l'agent Mythic.
Selon ESET Research, les activités observées sont liées à RomCom avec un haut degré de confiance compte tenu de la région ciblée, des tactiques, techniques et procédures (TTP) et du maliciel utilisé. RomCom (connu aussi sous les noms de Storm-0978, Tropical Scorpius ou UNC2596) est un groupe pro-russe menant des campagnes opportunistes contre des secteurs d'activité spécifiques et des opérations d'espionnage ciblées. Le groupe se concentre sur des opérations d'espionnage collectant des renseignements, et des opérations de cybercriminalité plus classiques. La porte dérobée utilisée peut exécuter des commandes et télécharger des modules supplémentaires sur la machine de la victime. Ce n'est pas la première fois que RomCom utilise des exploits pour compromettre ses victimes. En juin 2023, le groupe a mené une campagne de spearphishing ciblant des entités gouvernementales et de défense en Europe, avec des leurres liés au Congrès Mondial Ukrainien.
« En exploitant une vulnérabilité zero-day jusqu'alors inconnue dans WinRAR, le groupe RomCom a montré sa volonté de faire des efforts et de mettre des ressources importantes dans ses cyberopérations. La campagne découverte visait des secteurs s'alignant sur les intérêts habituels des groupes APT pro-russes, suggérant une motivation géopolitique de l’opération », conclut Strýček.
Pour une analyse plus détaillée et technique de la dernière campagne de RomCom, consultez le dernier blog d’ESET Research “Update WinRAR tools now: RomCom and others exploiting zero-day vulnerability” sur www.WeLiveSecurity.com . Suivez ESET Research sur X, BlueSky et Mastodon pour rester informé(e) des dernières actualités.
A propos d’ESET
ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation faciles. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com ou suivez nos réseaux sociaux, podcasts, blogs et https://www.est.com/be-fr/.
Liens associés
06/08/2025 @ 14:28:43
Poster un commentaire
AMD
iOS
Consoles
Matériel
Apple
