WinRAR exploité par des groupes pro-russes pour attaquer l'Ukraine

Une vulnérabilité dans WinRAR, pourtant corrigée depuis juillet 2025, reste activement exploitée contre des cibles ukrainiennes. Deux groupes liés à la Russie en tirent parti pour déployer des logiciels malveillants capables de voler des données sensibles.

Ce constat provient d'une analyse publiée par Trend Micro, qui attribue ces activités à Earth Dahu (également connu sous le nom Gamaredon) et à un groupe référencé SHADOW-EARTH-066, aussi désigné UAC-0226. Les chercheurs soulignent que la persistance de cette menace illustre les risques liés aux logiciels non mis à jour dans des environnements critiques.

Une faille de traversée de répertoire au cœur des attaques

La vulnérabilité en question, identifiée sous la référence CVE-2025-8088, est une faille de traversée de chemin qui permet à un attaquant d'écrire des fichiers en dehors du répertoire d'extraction prévu, via les flux de données alternatifs NTFS (ADS). WinRAR l'a corrigée en juillet 2025.

Le groupe SHADOW-EARTH-066 exploite cette faille via des archives RAR spécialement construites, qui contiennent un faux document PDF et trois charges utiles dissimulées dans des flux ADS. L'infection repose notamment sur un fichier raccourci Windows placé dans le dossier de démarrage, garantissant une exécution automatique à chaque connexion de l'utilisateur.

Ce raccourci lance ensuite un chargeur PowerShell, qui déploie en mémoire une version mise à jour du logiciel malveillant GIFTEDCROOK. Ce dernier cible les mots de passe et cookies des navigateurs basés sur Chromium, ainsi que Firefox, et collecte des documents selon leur extension. Une fois les données exfiltrées, toutes les traces malveillantes sont effacées pour compliquer l'analyse forensique.

Un changement de canal d'exfiltration révélateur

SHADOW-EARTH-066 a modifié son mode d'exfiltration : le groupe est passé de Telegram à des serveurs de commande et contrôle dédiés. Ce changement intervient après le blocage de Telegram en Russie en février 2026, ce qui rendait l'usage de la messagerie moins commode pour des opérations depuis le territoire russe.

Cette adaptation témoigne d'une capacité à faire évoluer l'infrastructure technique en fonction des contraintes opérationnelles, ce qui complique davantage la détection et le blocage des activités malveillantes.

Earth Dahu cible l'espionnage à long terme

Le second groupe, Earth Dahu (Gamaredon), intègre cette même faille WinRAR dans sa chaîne d'infection depuis au moins septembre 2025. Selon Trend Micro, ce groupe est réputé pour ses opérations de maintien d'accès à grande échelle sur des organisations compromises.

Sa méthode repose sur une chaîne HTA vers VBScript qui déploie plusieurs modules d'espionnage. L'application HTA dénommée GammaPhish télécharge un script VBScript appelé GammaLoad, qui sert à son tour à déployer GammaSteel, un logiciel voleur capable de surveiller les modifications de fichiers en temps réel. Selon Trend Micro, cette chaîne d'infection était encore active au moins jusqu'au 10 avril 2026.

Ces activités ont également été documentées par le cabinet de sécurité Sekoia, qui décrit GammaLoad comme un ensemble de scripts VBScript conçus pour maintenir un accès continu et déployer des charges utiles progressivement.

WinRAR, un vecteur d'attaque durable en Ukraine

WinRAR est largement utilisé dans les organisations ukrainiennes, ce qui en fait une cible de choix pour des acteurs cherchant un point d'entrée stable. Trend Micro note que la convergence de deux groupes soutenus par un État sur une seule et même vulnérabilité reflète l'intensité des cybermenaces auxquelles fait face l'Ukraine.

La leçon centrale de cette affaire reste la gestion des mises à jour logicielles. Un correctif disponible depuis plusieurs mois n'offre aucune protection tant qu'il n'est pas déployé sur les systèmes exposés.

Source : Thehackernews