L’expertise d’ESET Research met au jour une nouvelle menace
Le rapport d’ESET Research, une source d’autorité reconnue en matière de cybersécurité, met en lumière une campagne d’espionnage particulièrement sophistiquée. Selon Peter Strýček, co-découvreur de la faille, l’équipe a identifié le 18 juillet une DLL malveillante dissimulée dans une archive RAR, marquant le début d’une enquête approfondie. L’expérience et l’expertise des chercheurs, dont Anton Cherepanov, ont permis d’identifier une vulnérabilité inconnue affectant même la version courante de WinRAR (v7.12). Suite à la notification d’ESET le 24 juillet 2025, les développeurs de WinRAR ont réagi avec une grande fiabilité, publiant un correctif bêta le même jour, suivi d’une version complète le 30 juillet 2025. Cette coopération est un témoignage de la confiance qui lie les acteurs de la sécurité.
Une campagne ciblée et une menace persistante
Les cybercriminels ont utilisé des archives malveillantes, camouflées en documents d’application tels que des CV, pour inciter les victimes à les ouvrir. Ces attaques de spearphishing visaient spécifiquement les secteurs de la finance, de l’industrie manufacturière, de la défense et de la logistique en Europe et au Canada. Bien qu’aucune compromission n’ait été formellement confirmée par la télémétrie d’ESET, le succès de l’exploitation aurait permis de déployer plusieurs backdoors RomCom, notamment SnipBot, RustyClaw et l’agent Mythic. Ces portes dérobées, une fois installées, permettent aux attaquants d’exécuter des commandes à distance et de télécharger des modules supplémentaires pour l’espionnage. C’est la troisième fois que le groupe RomCom est lié à l’exploitation d’une faille zero-day majeure, prouvant sa capacité à investir massivement dans ses opérations.
RomCom : un acteur majeur de l’espionnage cyber pro-russe
L’attribution de cette campagne au groupe RomCom, également connu sous les appellations de Storm-0978 ou UNC2596, repose sur une analyse rigoureuse des tactiques, techniques et procédures (TTP) et des familles de malwares utilisées. L’alignement de RomCom avec les intérêts russes et le ciblage de secteurs stratégiques renforcent l’hypothèse d’une motivation géopolitique derrière ces opérations, au-delà de la simple cybercriminalité. L’analyse conclut que cette campagne ciblait des secteurs alignés sur les intérêts typiques des APT (Advanced Persistent Threats) pro-russes. Pour une analyse technique plus approfondie, ESET Research invite les experts à consulter leur article de blog « Mettre à jour les outils WinRAR maintenant : RomCom et d’autres exploitant la vulnérabilité zero-day » sur WeLiveSecurity.com.
 dans WinRAR, exploitée par le groupe RomCom. Une campagne de spearphishing ciblait les secteurs stratégiques en Europe et au Canada.){kind=link}