Une vulnérabilité Zero-Day non corrigée menace l’industrie énergétique russe !

Une faille de sécurité majeure dans Adobe Acrobat Reader est activement utilisée pour cibler l’industrie énergétique russe. Cette faille, appelée « zero-day », permet aux attaquants de dérober des données sensibles des systèmes en manipulant des fichiers PDF.

Des attaques ciblées via des documents PDF malveillants

La vulnérabilité a été découverte par le chercheur en sécurité Haifei Li, qui l’a révélée au début du mois d’avril. Son système de surveillance des exploits, EXPMON, a identifié une nouvelle méthode d’attaque qui contourne même la version la plus récente d’Adobe Acrobat Reader. Les attaques visent spécifiquement des entreprises du secteur énergétique russe.

Les cybercriminels utilisent des documents PDF soigneusement conçus, rédigés en russe, pour piéger leurs victimes. Des noms de fichiers tels que « Facture540.pdf » ou « Rapport d’urgence » sont conçus pour inciter les employés des organisations ciblées à ouvrir ces documents. Une fois ouverts, un code JavaScript dissimulé s’exécute automatiquement, sans aucune interaction supplémentaire de l’utilisateur.

Le cœur technique : abus d’interfaces privilégiées

La faille réside dans le traitement de JavaScript au sein des fichiers PDF. L’exploit se sert d’APIs Adobe Acrobat spécifiquement verrouillées pour l’utilisation générale. En particulier, il utilise les fonctions util.readFileIntoStream et RSS.addFeed pour accéder de manière non autorisée au système de fichiers local.

Le script commence par un profilage complet du système, collectant des informations telles que la version de l’OS, les paramètres linguistiques et les chemins de fichiers locaux, avant d’envoyer ces données aux serveurs des attaquants. Ces informations semblent servir de prélude à des actions plus graves.

Les analystes craignent que l’infrastructure mise en place soit conçue pour déployer des malwares supplémentaires sur des systèmes cibles appropriés, ce qui pourrait aboutir à une exécution de code à distance et donner aux attaquants un contrôle total sur des ordinateurs compromis.

Une campagne sur le long terme avec des caractéristiques APT

Les recherches indiquent que les attaques sont plus anciennes que prévu, avec des variantes de l’exploit identifiées dès novembre 2025. L’orientation ciblée des victimes et la sophistication des opérations laissent penser à un groupe Advanced Persistent Threat (APT).

Les attaquants semblent filtrer leurs objectifs avec soin. Dans certains tests, les serveurs de commande n’ont pas répondu avec des malwares supplémentaires. Les experts estiment que les charges utiles les plus dangereuses ne sont envoyées qu’à des systèmes qui répondent à des critères spécifiques, tels que l’appartenance à une entreprise ou l’absence de certains outils de sécurité.

Aucun patch en vue – les entreprises doivent agir

À la mi-avril 2026, Adobe n’avait pas encore publié de correctif pour cette vulnérabilité. L’entreprise a été informée le 7 avril et examine le rapport. La version actuellement affectée est Acrobat Reader 26.00121367.

En l’absence d’une mise à jour officielle, les experts en sécurité recommandent plusieurs mesures préventives :

• Surveiller le trafic réseau pour le terme « Adobe Synchronizer » dans le champ User-Agent
• Bloquer les IP connues des attaquants
• Pour les organisations à haut risque : utiliser temporairement des visionneuses PDF alternatives qui ne prennent pas en charge les APIs JavaScript vulnérables
• Faire preuve de prudence avec les pièces jointes d’e-mails portant des factures ou des rapports énergétiques provenant de sources inconnues

L’utilisation omniprésente du format PDF dans le milieu professionnel rend cette faille zero-day particulièrement préoccupante, et tant qu’Adobe ne réagit pas, le danger demeure réel.