ven. Juil 17th, 2026

Tout le monde est concerné. Des agents des gouvernements russe et chinois aux malfaiteurs à motivation financière, bon nombre d’entre eux exploitent une vulnérabilité de WinRAR, corrigée depuis longtemps, pour diffuser des logiciels malveillants et des chevaux de Troie d’accès à distance.

Ce bogue, référencé comme CVE-2025-8088, est une faille de traversée de chemin affectant la version Windows de cet outil de décompression. Il a reçu un score de 8,8 sur l’échelle CVSS v3.1 et a été corrigé dans la version 7.13 de WinRAR, publiée le 30 juillet.

Peu après, des chercheurs d’ESET, qui avaient découvert et signalé la vulnérabilité, ont informé The Register qu’un groupe aligné sur la Russie, dénommé RomCom, ainsi qu’au moins un autre groupe criminel, avaient exploité cette faille comme une « zero-day ».

À la fin janvier, le Google Threat Intelligence Group (GTIG) a déclaré que plusieurs groupes continuaient d’abuser de la vulnérabilité CVE-2025-8088.

Les attaquants exploitent les Flux de Données Alternatifs (ADS), une fonctionnalité de Windows, pour masquer leurs logiciels malveillants. Ils créent des archives RAR malveillantes contenant un fichier leurre, tel qu’un PDF. Lorsque l’utilisateur ouvre ce fichier sur une version vulnérable de WinRAR, le malware caché peut alors écrire des fichiers à des emplacements choisis sur le système.

« Plusieurs acteurs soutenus par des gouvernements ont adopté l’exploitation de CVE-2025-8088, en ciblant principalement les secteurs militaire, gouvernemental et technologique », a rapporté GTIG mardi.

Des groupes comme RomCom, à la fois gang de ransomware et d’espionnage, exploitent cette faille pour cibler des entités militaires et gouvernementales ukrainiennes en utilisant des appâts géopolitiques. D’autres groupes liés au Kremlin, tels qu’APT44 (alias Frozenbarents), Temp.Armageddon (alias Carpathian) et Turla (alias Summit), utilisent également la CVE-2025-8088 pour s’attaquer à ces mêmes secteurs en Ukraine.

Un groupe basé en République Populaire de Chine exploite également cette vulnérabilité pour distribuer PoisonIvy, un cheval de Troie d’accès à distance, via un fichier BAT placé dans le dossier de démarrage, qui télécharge ensuite un pourriciel.

De nombreuses gangs criminels motivés financièrement utilisent également cette vulnérabilité pour infecter les machines des victimes avec des RAT et des logiciels malveillants de vol de données. Bien que ces groupes spécifiques ne soient pas nommés, des sources évoquent des groupes ciblant des organisations commerciales en Indonésie, d’autres qui visent le secteur de l’hôtellerie et des voyages avec des courriels de phishing utilisant l’appât de réservations d’hôtels pour distribuer XWorm et AsyncRAT, et un troisième se concentrant sur des utilisateurs brésiliens via des sites bancaires pour dérober des identifiants.

Afin de janvier, nous avons constaté que des malwares continuaient d’être distribués par des cybercriminels exploitant CVE-2025-8088, y compris des RAT et des voleurs de données », ont ajouté les chercheurs en sécurité.

En juin, avant que la vulnérabilité ne soit rendue publique, un criminel surnommé “zeroplayer” avait posté une annonce sur un forum de cybercriminalité pour vendre un exploit WinRAR « zero-day » pour 80 000 dollars.

D’après GTIG, ce n’est pas la seule exploitation que “zeroplayer” propose à ses confrères. « Historiquement et ces derniers mois, zeroplayer a continué d’offrir d’autres exploits coûteux susceptibles de permettre aux acteurs malveillants de contourner les mesures de sécurité, » ont précisé les chercheurs.

Parmi ces exploits, un exploit zero-day d’exécution de code à distance (RCE) pour Microsoft Office, annoncé à 300 000 dollars en novembre 2025, et un exploit d’escalade locale des privilèges (LPE) pour Windows vendu 100 000 dollars un mois plus tôt.

En septembre, zeroplayer avait également annoncé un exploit RCE zero-day pour un “fournisseur de VPN d’entreprise populaire” sans mentionner de prix, ainsi qu’un autre exploit zero-day pour un pilote non spécifié, capable de désactiver les logiciels antivirus pour 80 000 dollars.

Points à retenir

  • La vulnérabilité CVE-2025-8088 concerne spécifiquement des utilisateurs de WinRAR sur Windows.
  • Des groupes criminels exploitent cette faille principalement pour des activités d’espionnage et de ransomware.
  • La méthode principale utilisée implique des fichiers leurres pour masquer les malwares.
  • Le contexte géopolitique influence les cibles des attaques, notamment en Ukraine.
  • La vente d’exploits sur le marché noir est une réalité allergique du paysage cybernétique actuel.

Il est essentiel de rester vigilant face à ce type de menace, car les utilisateurs de logiciels de décompression, comme WinRAR, sont souvent les cibles privilégiées des cybercriminels. Cette situation soulève des questions sur la responsabilité des développeurs à assurer la sécurité de leurs logiciels. À l’heure où de plus en plus d’interactions passent par des plateformes numériques, que devrions-nous en tant qu’utilisateurs exiger pour assurer notre propre sécurité en ligne ?


Partager : X Facebook WhatsApp LinkedIn Reddit

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *