Gamaredon exploite une faille de WinRAR pour déployer des logiciels malveillants contre l'Ukraine

Les chercheurs de la société de cybersécurité Sekoia ont attribué au groupe Gamaredon, lié aux services de renseignement russes, une campagne de cyberattaques récente exploitant une faille de sécurité du logiciel d'archivage WinRAR. Cette activité malveillante, dirigée contre des institutions militaires et gouvernementales ukrainiennes, utilise la vulnérabilité référencée CVE-2025-8088, un défaut de type « path traversal » corrigé par l'éditeur de WinRAR en juillet 2025.

Selon l'analyse de Sekoia, l'attaque commence par l'envoi d'une archive WinRAR piégée. L'exploitation de la faille permet d'exécuter une charge utile sous forme d'une application HTML (HTA), baptisée GammaPhish par les experts. Ce premier stade sert à télécharger et installer sur la machine victime deux familles de logiciels malveillants plus avancées : GammaWorm, un ver capable de se propager au sein du réseau, et GammaSteel, un voleur d'informations conçu pour dérober des identifiants et des documents sensibles.

Une méthode de dissimulation sophistiquée

Les chercheurs précisent que l'archive malveillante contient un fichier dont le nom imite celui d'une icône de réfrigérateur, probablement dans le but de tromper l'utilisateur. Une fois la vulnérabilité exploitée, le code exécute GammaPhish, qui contacte un serveur distant pour recevoir les instructions et les composants supplémentaires. Sekoia souligne que Gamaredon maintient ainsi une chaîne d'infection multi-étapes, rendant la détection plus difficile.

Une menace persistante

Cette campagne s'inscrit dans la continuité des opérations de Gamaredon, un groupe actif depuis plusieurs années et régulièrement associé à des attaques contre des entités ukrainiennes. Si la faille CVE-2025-8088 a été corrigée dans les versions récentes de WinRAR, son exploitation dans des attaques ciblées démontre que de nombreuses organisations n'ont pas encore appliqué la mise à jour de sécurité. Les experts recommandent aux administrateurs systèmes et aux utilisateurs de vérifier que leur logiciel WinRAR est à jour et d'éviter l'ouverture d'archives provenant de sources non fiables.