- Des chercheurs d’ESET ont identifié une vulnérabilité inédite dans WinRAR, activement exploitée par le groupe RomCom.
- Il s’agit de la faille CVE-2025-8088, vulnérabilité de traversée de chemin via flux de données alternatifs, corrigée par WinRAR le 30 juillet 2025 après notification.
- Des tentatives d’exploitation réussies ont permis le déploiement de backdoors RomCom (variante SnipBot, RustyClaw, agent Mythic).
- La campagne est dirigée contre les secteurs financier, manufacturier, défense et logistique en Europe et au Canada.
- Des chercheurs d’ESET ont identifié une vulnérabilité inédite dans WinRAR, activement exploitée par le groupe RomCom.
- Il s’agit de la faille CVE-2025-8088, vulnérabilité de traversée de chemin via flux de données alternatifs, corrigée par WinRAR le 30 juillet 2025 après notification.
- Des tentatives d’exploitation réussies ont permis le déploiement de backdoors RomCom (variante SnipBot, RustyClaw, agent Mythic).
- La campagne est dirigée contre les secteurs financier, manufacturier, défense et logistique en Europe et au Canada.
Tunisie-Tribune (ESET Research) – Les chercheurs d’ESET ont identifié une vulnérabilité zero-day dans WinRAR, activement exploitée par le groupe RomCom aligné sur la Russie. Entre le 18 et 21 juillet 2025, des archives malveillantes ont été déployées via spearphishing contre des entreprises financières, manufacturières, de défense et logistiques en Europe et au Canada dans un objectif d’espionnage cyber. Il s’agit de la troisième exploitation zero-day majeure attribuée à RomCom.
« Le 18 juillet, nous avons détecté une DLL malveillante msedge.dll dans une archive RAR présentant des chemins suspects. L’analyse a révélé l’exploitation d’une vulnérabilité inconnue affectant WinRAR, y compris la version 7.12 courante. Contacté le 24 juillet, le développeur a corrigé la faille en version bêta le jour même, avec une release complète quelques jours après. Nous recommandons une mise à jour immediate », explique Peter Strýček d’ESET, co-découvreur avec Anton Cherepanov. La CVE-2025-8088 est une faille de traversée de chemin exploitant les flux de données alternatifs.
Masquées en documents d’application, les archives weaponisées utilisaient la traversée de chemin pour compromettre les cibles. Les attaquants ont transmis des CV par spearphishing espérant éveiller la curiosité. Bien qu’aucune compromission n’ait été confirmée par la télémétrie ESET, les emails étaient hautement ciblés après reconnaissance préalable. Les exploitations réussies déployaient diverses backdoors RomCom : variante SnipBot, RustyClaw et agent Mythic.
ESET attribue ces activités à RomCom avec haute confiance selon la géolocalisation, les TTP et malwares utilisés. RomCom (également connu sous l’appelation Storm-0978, Tropical Scorpius, UNC2596) est un groupe aligné sur les intérêts de la Russie, menant campagnes opportunistes sectorielles et opérations d’espionnage ciblées. Ses objectifs englobent désormais renseignement et espionnage parallèlement aux activités cybercriminelles traditionnelles. Leurs backdoors exécutent des commandes et téléchargent des modules additionnels. En juin 2023, RomCom avait déjà ciblé des entités défense/gouvernementales européennes via des leurres du Congrès mondial ukrainien.
« En exploitant une zero-day inconnue dans WinRAR, RomCom démontre sa capacité d’investissement significatif dans ses cyberopérations. Cette campagne ciblait des secteurs alignés sur les intérêts typiques des APT pro-russes, suggérant une motivation géopolitique », conclut Strýček.
Pour une analyse technique de la dernière campagne de RomCom, consultez l’article de blog d’ESET Research « Mettre à jour les outils WinRAR maintenant : RomCom et d’autres exploitant la vulnérabilité zero-day » sur WeLiveSecurity.com.
À propos d’ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l’intelligence artificielle et l’expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l’UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d’utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s’adaptant constamment à l’évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.
aligné sur la Russie. Entre le 18 et 21 juillet 2025, des archives malveillantes ont été déployées via spearphishing contre des entreprises financières, manufacturières, de défense et logistiques en Europe et au Canada dans un objectif d’espionnage cyber. Il s’agit de la troisième exploitation zero-day majeure attribuée à RomCom.
« Le 18 juillet, nous avons détecté une DLL malveillante msedge.dll dans une archive RAR présentant des chemins suspects. L’analyse a révélé l’exploitation d’une vulnérabilité inconnue affectant WinRAR, y compris la version 7.12 courante. Contacté le 24 juillet, le développeur a corrigé la faille en version bêta le jour même, avec une release complète quelques jours après. Nous recommandons une mise à jour immediate », explique Peter Strýček d’ESET, co-découvreur avec Anton Cherepanov. La CVE-2025-8088 est une faille de traversée de chemin exploitant les flux de données alternatifs.
Masquées en documents d’application, les archives weaponisées utilisaient la traversée de chemin pour compromettre les cibles. Les attaquants ont transmis des CV par spearphishing espérant éveiller la curiosité. Bien qu’aucune compromission n’ait été confirmée par la télémétrie ESET, les emails étaient hautement ciblés après reconnaissance préalable. Les exploitations réussies déployaient diverses backdoors RomCom : variante SnipBot, RustyClaw et agent Mythic.
ESET attribue ces activités à RomCom avec haute confiance selon la géolocalisation, les TTP et malwares utilisés. RomCom (également connu sous l’appelation Storm-0978, Tropical Scorpius, UNC2596) est un groupe aligné sur les intérêts de la Russie, menant campagnes opportunistes sectorielles et opérations d’espionnage ciblées. Ses objectifs englobent désormais renseignement et espionnage parallèlement aux activités cybercriminelles traditionnelles. Leurs backdoors exécutent des commandes et téléchargent des modules additionnels. En juin 2023, RomCom avait déjà ciblé des entités défense/gouvernementales européennes via des leurres du Congrès mondial ukrainien.
« En exploitant une zero-day inconnue dans WinRAR, RomCom démontre sa capacité d’investissement significatif dans ses cyberopérations. Cette campagne ciblait des secteurs alignés sur les intérêts typiques des APT pro-russes, suggérant une motivation géopolitique », conclut Strýček.
Pour une analyse technique de la dernière campagne de RomCom, consultez l’article de blog d’ESET Research « Mettre à jour les outils WinRAR maintenant : RomCom et d’autres exploitant la vulnérabilité zero-day » sur WeLiveSecurity.com.
À propos d’ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l’intelligence artificielle et l’expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l’UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d’utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s’adaptant constamment à l’évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.
