Selon le blog Synaptic Systems, l’APT russe « Primitive Bear »/« Gamaredon » (attribué au FSB) mène depuis octobre–novembre 2025 une campagne de spear‑phishing ciblant des entités ukrainiennes, en s’appuyant sur des archives RAR piégées et des leurres en langue ukrainienne (documents administratifs et militaires). Les échantillons observés partagent une structure quasi identique et exploitent la vulnérabilité WinRAR CVE-2025-6218.

La faille CVE-2025-6218 est une traversée de répertoires menant à une exécution de code dans WinRAR (≤ 7.11) permettant d’écrire hors du dossier d’extraction, notamment dans le dossier Startup de l’utilisateur. Une fois l’archive ouverte (interaction minimale), un fichier .hta est déposé de manière furtive dans Startup et s’exécute au prochain login, avec les privilèges de l’utilisateur. Le correctif est disponible à partir de WinRAR 7.12 (Beta 1).

Chaîne d’infection observée 📨🗂️: 1) ouverture de l’archive; 2) extraction d’un faux PDF dans le dossier courant; 3) extraction silencieuse d’un HTA contenant du VBScript ofbusqué vers Startup; 4) au redémarrage, exécution du script qui lance mshta.exe (LOLBIN) pour récupérer la charge suivante depuis une infrastructure C2. Ex. de commande: mshta vers une URL du type « president.gov.ua@readers[.]serveirc[.]com?… » (astuce d’hameçonnage dans l’URL). Les TTPs correspondent aux habitudes de Gamaredon: chaînage multi‑étapes, abus de LOLBINs (mshta.exe, wscript.exe), thématiques gouvernementales ukrainiennes, C2 dynamiques, et déploiement final fréquent de Pteranodon ou GammaLoad.

Infrastructure et IoCs 🕸️: usage massif de DynDNS/No‑IP (serveirc.com, webhop.me, sytes.net, ddns.net, etc.) et d’adresses IP louées (InterLIR). Domaines actifs identifiés au moment de l’analyse: acess-pdf.webhop.me; backup.9fvzesn.us; creates.webhop.me; dears.serveirc.com; digitall.webhop.me; dilopendos.serveirc.com; fixer.serveirc.com; google-pdf.redirectme.net; hosting-redirect.sytes.net; political-news.serveirc.com; freedynamicdns.net; readers.serveirc.com; serversftp.serveirc.com; yeard.serveirc.com. IPs remarquées: 194.58.66.5; 194.58.66.132; 194.58.66.192; 194.87.240.141; 194.87.230.166; 194.87.240.215; 185.39.204.82; 45.141.234.234; 5.8.18.46. Exemples d’IoCs additionnels: échantillon 237696ecc370688a8d1894eb2f95af53a3c0f8d42eb540b7f529b4d4f4492bc0; URLs d’amorçage telles que http://president.gov.ua@readers[.]serveirc[.]com?/gSS_11.11.2025/kidneyfih/broadlyrQZ.pdf et d’autres sous-domaines serveirc[.]com (fixer, dears, dilopendos, readers, serversftp, political-news), webhop[.]me et sytes[.]net.

TTPs clés 🧰: • Exploitation de CVE‑2025‑6218 (écriture hors dossier d’extraction vers Startup) • Dépôt/chargement via HTA + VBScript • Abus de mshta.exe/wscript.exe (LOLBIN) • Spear‑phishing avec noms de fichiers ukrainiens liés à l’administration/la mobilisation • C2 sur DynDNS/No‑IP et services hébergés (incl. Cloudflare tunnels, Clever Cloud) • Charges finales typiques: Pteranodon, GammaLoad.

L’article est une analyse de menace visant à documenter la méthodologie, l’infrastructure et à fournir des IoCs et recommandations de détection/mitigation pour les équipes défensives.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation de CVE-2025-6218 (écriture hors dossier d’extraction vers Startup)’, ‘Dépôt/chargement via HTA + VBScript’, ‘Abus de mshta.exe/wscript.exe (LOLBIN)’, ‘Spear-phishing avec noms de fichiers ukrainiens liés à l’administration/la mobilisation’, ‘C2 sur DynDNS/No-IP et services hébergés (incl. Cloudflare tunnels, Clever Cloud)’, ‘Chaînage multi-étapes’, ‘Thématiques gouvernementales ukrainiennes’, ‘Déploiement final fréquent de Pteranodon ou GammaLoad’]

IOC

{‘hash’: [‘237696ecc370688a8d1894eb2f95af53a3c0f8d42eb540b7f529b4d4f4492bc0’], ‘domain’: [‘acess-pdf.webhop.me’, ‘backup.9fvzesn.us’, ‘creates.webhop.me’, ‘dears.serveirc.com’, ‘digitall.webhop.me’, ‘dilopendos.serveirc.com’, ‘fixer.serveirc.com’, ‘google-pdf.redirectme.net’, ‘hosting-redirect.sytes.net’, ‘political-news.serveirc.com’, ‘freedynamicdns.net’, ‘readers.serveirc.com’, ‘serversftp.serveirc.com’, ‘yeard.serveirc.com’], ‘ip’: [‘194.58.66.5’, ‘194.58.66.132’, ‘194.58.66.192’, ‘194.87.240.141’, ‘194.87.230.166’, ‘194.87.240.215’, ‘185.39.204.82’, ‘45.141.234.234’, ‘5.8.18.46’]}

🔗 Source originale : https://blog.synapticsystems.de/how-a-russian-threat-actor-uses-recent-winrar-vulnerability-in-their-ukraine-operations/