Ces derniers mois, une triste mais certaine règle du monde de la cybersécurité a été rétablie : une seule vulnérabilité bien utilisée peut ouvrir de nombreuses portes. L'échec connu comme CVE-2025-8088 Dans WinRAR, un échec de trajet associé à l'utilisation de flux de données alternatifs (ADS) de NTFS a été exploité par des groupes soutenus par l'État et par des bandes cybercriminelles à but lucratif, et le résultat a été la livraison de toutes sortes de logiciels malveillants avec des objectifs et des techniques très différents.
Pour comprendre pourquoi cet échec a causé tant de poussées, vous devez d'abord clarifier ce qu'est ADS. Dans les systèmes de fichiers NTFS, il est possible d'attacher des flux de données alternatifs au même fichier; ils sont invisibles à l'utilisateur typique et ont été utilisés légitimement pendant des années, mais ils peuvent également être utilisés pour cacher le code malveillant dans un fichier apparemment inoffensif. Microsoft consacre la documentation technique à ces structures sur son site de développement, et est un bon point de départ pour comprendre le problème: Autres flux de données (Microsoft).
Le vecteur opérationnel décrit par les chercheurs est de créer un fichier (par exemple un .rar) contenant un document légitime qui sert de leurre et, avec lui, des entrées ADS avec des charges cachées. Lorsque WinRAR supprime le contenu, une mauvaise validation de route vous permet de retirer ces entrées ADS du conteneur et de les écrire dans des emplacements de système arbitraires, y compris des dossiers de démarrage automatique. Ces charges sont généralement matérialisées comme des accès directs (.LNK), des fichiers HTA, des scripts .BT / .CMD, ou de petits téléchargements qui s'exécutent lorsque vous vous connectez à Windows, donnant l'attaquant de façon persistante.
La première notification publique d'utilisation active de cet échec a été faite par des chercheurs de l'ESET qui ont identifié des attaques attribuées à un groupe aligné sur la Russie connu sous le nom de RomCom (aussi appelé CIGAR ou UNC4895). L'équipe de renseignement sur la menace de Google a par la suite documenté que les fermes ont commencé à être observées depuis la mi-juillet 2025 et que l'activité se poursuit, avec des acteurs étatiques et criminels qui poursuivent des gains économiques. L'analyse de Google est disponible dans des détails plus techniques et des exemples dans sa publication: Google Threat Intelligence Group - Exploiter un critique Vulnérabilité WinRAR.
Les schémas observés sont variés. Parmi les campagnes d'espionnage motivées, des envois ont été documentés aux unités militaires ukrainiennes avec des leurres en langue ukrainienne, des déploiements de familles de malwares telles que STOCKSTAY ou NESTPACKER (aussi connu sous le nom de Snipbot), et le placement de déchets HTA dans les dossiers de départ qui maintiennent l'accès persistant même après le redémarrage. D'autres acteurs liés à la Chine ont pris le même chemin pour laisser des fichiers batch (.BT) qui à leur tour télécharger et activer des composants comme POISONIVY. Parallèlement, les bandes de cybercriminalité ont utilisé la vulnérabilité pour distribuer des outils d'accès à distance et des informations Trojan comme XWorm ou AsyncrAT, des extensions de navigateur malveillant orientées vers le vol de banque et les portes arrière contrôlées par les robots Telegram.
L'un des facteurs qui facilite cette propagation est l'existence d'un marché pour les exploits : les fournisseurs spécialisés offrent des codes fonctionnels à des tiers pour exploiter les vulnérabilités de prix qui, selon les rapports, peuvent devenir très élevés. Google et d'autres sociétés de sécurité interprètent cette dynamique comme la Commercialisation des explosifs, un phénomène qui réduit la barrière technique pour les acteurs moins sophistiqués à attaquer efficacement les systèmes non embarqués.
D'un point de vue défensif, la recommandation la plus directe est d'appliquer les correctifs dès que possible: si vous avez WinRAR installé, rechercher et mettre à jour la version corrigée par le fournisseur. En outre, il convient de réduire l'exposition à ce vecteur en évitant d'ouvrir les fichiers compressés reçus d'expéditeurs non vérifiés et en créant des politiques qui empêchent l'exécution automatique de fichiers à partir de lieux d'extraction temporaires ou du dossier de démarrage non supervisé. Des outils de protection endpoints capables de détecter des écritures inhabituelles dans des dossiers critiques et de surveiller la création d'accès direct et HTA aident également à détecter des tentatives persistantes.
Les organisations et les administrateurs peuvent compléter ces mesures par des contrôles d'application et des restrictions d'autorisation : maintenir des privilèges limités pour les comptes utilisateurs, appliquer des listes blanches d'implémentation lorsque cela est possible et mettre à jour les mécanismes de détection dans les solutions EDR/AV avec les signatures et les règles fournies par les fournisseurs. Pour les agents de sécurité publics et privés, il est recommandé de suivre les avis et catalogues de vulnérabilités actives, comme celui de la NVD pour l'entrée de la CVE ( CVE-2025-8088 - NVD) et la collecte de vulnérabilités activement exploitées publiée par la CISA ( CISA - Catalogue KEV).
Bien qu'une grande partie de l'attention soit accordée à WinRAR, le problème de l'arrière-plan est plus large : les attaquants combinent les techniques de dissimulation dans le système de fichiers avec les chaînes d'exploitation et les services vendus sur le marché clandestin pour atteindre un accès rapide et persistant à des objectifs précieux. La leçon pour les gestionnaires et les utilisateurs est claire : maintenir des logiciels à jour, limiter l'exécution automatique du contenu et compléter ces bonnes pratiques par une détection et une réponse coordonnées réduit considérablement le risque qu'ils représentent des défaillances telles que CVE-2025-8088.
Pour ceux qui veulent approfondir les indicateurs et les tactiques observés par les chercheurs, les équipes ESET et Google publient des analyses techniques et contextuelles qui aident à identifier les modèles et à concevoir des règles de détection plus efficaces. La page de recherche ESET est un bon point pour trouver des études connexes: ESET - Sécurité WeLive et le rapport Google fournit des exemples concrets de la façon dont la chaîne d'exploitation est construite: GTIG - Analyse des exploitations.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...