Source et contexte — WeLiveSecurity (ESET Research) publie une analyse d’exploitation active d’une vulnérabilité zero‑day de WinRAR, identifiée comme CVE‑2025‑8088, découverte le 18 juillet 2025 et corrigée le 30 juillet 2025 (WinRAR 7.13). La faille permet, via des flux de données alternatifs (ADSes), une traversée de chemin conduisant au déploiement silencieux de fichiers malveillants lors de l’extraction. Les composants affectés incluent WinRAR, ses utilitaires en ligne de commande Windows, UnRAR.dll et le code source UnRAR portable.

⚙️ Détails techniques — Les archives sont spécialement conçues pour ne montrer qu’un fichier « anodin », tout en embarquant de multiples ADSes cachés. À l’ouverture, WinRAR décompresse aussi ces ADSes, déposant par exemple une DLL en %TEMP% et un LNK dans le dossier Démarrage (persistance). Les attaquants multiplient les ADSes avec des profondeurs « ..\ » variées, générant des chemins invalides qui s’accompagnent d’avertissements visibles dans l’interface; des ADSes « leurres » sont ajoutés pour dissimuler des chemins suspects.

🎯 Campagne & cibles — Des emails de spearphishing (18–21 juillet 2025) ont ciblé des secteurs financiers, manufacturiers, de défense et de logistique en Europe et au Canada, en joignant des CV piégés au format RAR. Selon la télémétrie ESET, aucune compromission n’a été confirmée. L’activité est attribuée à RomCom (Storm‑0978/Tropical Scorpius/UNC2596) avec forte confiance; un second acteur a également exploité la faille, découverte indépendamment par BI.ZONE quelques jours après RomCom.

🧬 Chaînes d’exécution observées — Trois chaînes distinctes ont été identifiées:

  • Mythic agent via COM hijacking: Updater.lnk crée HKCU\SOFTWARE\Classes\CLSID{1299CF18-C4F5-4B6A-BB0F-2299F0398E27}\InprocServer32 pointant vers %TEMP%\msedge.dll; la DLL charge du shellcode AES, vérifie le nom de domaine machine (ciblage préalable), C2: https://srlaptop[.]com/s/0.7.8/clarity.js.
  • SnipBot variant: Display Settings.lnk lance %LOCALAPPDATA%\ApbxHelper.exe (PuTTY CAC modifié, signature invalide); exécution seulement si ≥69 documents récents (anti‑analyse); télécharge un stage depuis https://campanole[.]com/TOfrPOseJKZ.
  • RustyClaw → MeltingClaw: Settings.lnk lance %LOCALAPPDATA%\Complaint.exe (RustyClaw, signature invalide), qui récupère un payload sur https://melamorri[.]com/iEZGPctehTZ; charge install_module_x64.dll (MeltingClaw), C2: https://gohazeldale[.]com.

📎 IoCs et TTPs — Extraits clés:

  • Réseau:
    • 194.36.209[.]127 — srlaptop[.]com (C2 Mythic)
    • 185.173.235[.]134 — campanole[.]com (C2 SnipBot variant)
    • 85.158.108[.]62 — melamorri[.]com (C2 RustyClaw)
    • 162.19.175[.]44 — gohazeldale[.]com (C2 MeltingClaw)
  • Fichiers (SHA‑1 → description):
    • AE687BEF963CB30A3788E34CC18046F54C41FFBA — msedge.dll (Mythic agent)
    • 1AEA26A2E2A7711F89D06165E676E11769E2FD68 — ApbxHelper.exe (SnipBot variant)
    • AB79081D0E26EA278D3D45DA247335A545D0512E — Complaint.exe (RustyClaw)
    • 01D32FE88ECDEA2B934A00805E138034BF85BF83 — install_module_x64.dll (MeltingClaw)
  • MITRE ATT&CK (sélection):
    • T1566.001 Spearphishing via pièce jointe; T1204.002 Exécution par l’utilisateur
    • T1547.001 Persistance via Startup folder (LNK); T1546.015 COM hijacking
    • T1497 Virtualization/Sandbox Evasion; T1480 Execution Guardrails; T1036.001 Masquerading (signature invalide)
    • T1027.007/T1027.013 Obfuscation (résolution API dynamique, shellcode chiffré)
    • T1071.001 HTTP(S) C2; T1573.002 Chiffrement asymétrique; T1041 Exfiltration sur canal C2

Conclusion — Article de publication de recherche présentant une vulnérabilité WinRAR exploitée (CVE‑2025‑8088), les campagnes associées attribuées à RomCom, les chaînes d’exécution, ainsi que les IoCs et TTPs, avec mention du correctif disponible (WinRAR 7.13).

🧠 TTPs et IOCs détectés

TTP

[‘T1566.001 Spearphishing via pièce jointe’, ‘T1204.002 Exécution par l’utilisateur’, ‘T1547.001 Persistance via Startup folder (LNK)’, ‘T1546.015 COM hijacking’, ‘T1497 Virtualization/Sandbox Evasion’, ‘T1480 Execution Guardrails’, ‘T1036.001 Masquerading (signature invalide)’, ‘T1027.007/T1027.013 Obfuscation (résolution API dynamique, shellcode chiffré)’, ‘T1071.001 HTTP(S) C2’, ‘T1573.002 Chiffrement asymétrique’, ‘T1041 Exfiltration sur canal C2’]

IOC

{‘hashes’: [‘AE687BEF963CB30A3788E34CC18046F54C41FFBA’, ‘1AEA26A2E2A7711F89D06165E676E11769E2FD68’, ‘AB79081D0E26EA278D3D45DA247335A545D0512E’, ‘01D32FE88ECDEA2B934A00805E138034BF85BF83’], ‘domains’: [‘srlaptop[.]com’, ‘campanole[.]com’, ‘melamorri[.]com’, ‘gohazeldale[.]com’], ‘ips’: [‘194.36.209[.]127’, ‘185.173.235[.]134’, ‘85.158.108[.]62’, ‘162.19.175[.]44’]}

🔗 Source originale : https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/