Une Découverte Inédite et une Course Contre la Montre
Les chercheurs d’ESET Research, une source d’autorité reconnue dans le secteur de la cybersécurité, ont fait une découverte capitale. C’est en analysant des archives malveillantes qu’ils ont mis le doigt sur une faille inconnue de tous. Selon Peter Strýček, co-découvreur de la vulnérabilité avec Anton Cherepanov, leur équipe a identifié le 18 juillet une DLL malveillante msedge.dll cachée dans une archive RAR. L’analyse approfondie a confirmé l’exploitation d’une vulnérabilité de traversée de chemin, affectant même la version courante 7.12 de WinRAR. Contacté le 24 juillet, le développeur a réagi avec une grande rapidité, publiant un correctif bêta le jour même, suivi d’une version complète le 30 juillet 2025. Cette collaboration met en lumière l’importance de l’expérience et de la confiance dans la communauté de la sécurité.
Une Campagne d’Espionnage Ciblée et Sophistiquée
La campagne d’attaque a été menée avec une grande précision. Entre le 18 et le 21 juillet 2025, des archives piégées ont été envoyées via des emails de spearphishing contre des entreprises des secteurs financier, manufacturier, de la défense et de la logistique en Europe et au Canada. Les attaquants, en quête de renseignement, ont utilisé des leurres ingénieux, se faisant passer pour des demandeurs d’emploi et envoyant des CV piégés. Bien qu’aucune compromission n’ait pu être confirmée par la télémétrie d’ESET, les tentatives réussies de l’exploit ont permis le déploiement de plusieurs backdoors du groupe RomCom, incluant les variantes SnipBot, RustyClaw et l’agent Mythic.
RomCom : Un Acteur Majuscule des Menaces Alignées sur la Russie
L’attribution de cette attaque au groupe RomCom (aussi connu sous les noms de Storm-0978 ou UNC2596) est faite avec une haute confiance par ESET. Cette attribution est basée sur une analyse des TTP (Tactiques, Techniques et Procédures) et des familles de logiciels malveillants utilisées. Ce groupe d’acteurs de menaces persistantes (APT) est aligné sur les intérêts de la Russie et se spécialise dans l’espionnage ciblé et les campagnes cybercriminelles opportunistes. En exploitant une faille zero-day, RomCom démontre sa capacité à investir des ressources considérables dans ses opérations. Selon Peter Strýček, « cette campagne ciblait des secteurs alignés sur les intérêts typiques des APT pro-russes, suggérant une motivation géopolitique ».
Pour une analyse technique approfondie de la dernière campagne de RomCom, consultez l’article de blog d’ESET Research « Mettre à jour les outils WinRAR maintenant : RomCom et d’autres exploitant la vulnérabilité zero-day » sur WeLiveSecurity.com.
 par le groupe RomCom. Une analyse technique des TTPs et des techniques de DLL Sideloading.){kind=link}