Source: Google Threat Intelligence Group (GTIG), 27 janvier 2026. GTIG décrit une exploitation active et étendue de CVE-2025-8088 dans WinRAR, utilisée comme vecteur d’accès initial et de persistance par des acteurs étatiques et financiers, avec des indicateurs de compromission fournis et un rappel du correctif disponible depuis fin juillet 2025.

Vulnérabilité et chaîne d’exploitation: la CVE-2025-8088 est une faille de traversée de répertoires dans WinRAR exploitant les Alternate Data Streams (ADS). Des archives RAR piégées contiennent des documents leurres et des entrées ADS malveillantes; lors de l’ouverture avec une version vulnérable, le contenu caché est écrit à un emplacement arbitraire, souvent le dossier Startup de Windows pour la persistance (ex. via des fichiers LNK). L’exploitation a été observée dès le 18 juillet 2025 et RARLAB a corrigé via WinRAR 7.13 le 30 juillet 2025. 🔧

Acteurs étatiques: des groupes soutenus par des États ciblent principalement des entités militaires, gouvernementales et technologiques.

  • Russie (ciblage Ukraine): UNC4895 (RomCom/CIGAR) via spearphishing, livrant la famille NESTPACKER (Snipbot); APT44 (FrozenBarents) dépose un leurre et un LNK qui tente des téléchargements; TEMP.Armageddon (CARPATHIAN) dépose des HTA dans Startup agissant comme téléchargeurs de second étage, avec un chargeur initial souvent dans une archive intégrée à un fichier HTML (activité continue jusqu’en janvier 2026); Turla (SUMMIT) distribue la suite STOCKSTAY avec des leurres militaires (drones).
  • Chine: un acteur PRC livre POISONIVY via un BAT déposé dans Startup servant de téléchargeur. 🕵️

Acteurs financiers: adoption rapide pour propager RATs et stealers contre des cibles commerciales.

  • Campagne visant l’Indonésie: dépôt d’un .cmd dans Startup qui télécharge une archive RAR chiffrée depuis Dropbox, contenant un backdoor piloté par un bot Telegram (C2).
  • Secteurs hôtellerie/voyage en LATAM: hameçonnage sur des réservations d’hôtel menant à XWorm et AsyncRAT.
  • Brésil: ciblage bancaire via une extension Chrome malveillante injectant du JavaScript sur deux sites bancaires pour le vol d’identifiants. GTIG note une activité continue en décembre 2025 et janvier 2026. 💸

Écosystème d’exploits souterrain: le fournisseur zeroplayer a annoncé un exploit WinRAR en juillet 2025 et propose d’autres exploits haut de gamme, illustrant la commoditisation de la chaîne d’attaque: évasion sandbox RCE Office (~300k USD, nov. 2025), RCE VPN d’entreprise (sept. 2025), LPE Windows (~100k USD, oct. 2025), désactivation AV/EDR via driver (~80k USD, sept. 2025). 🧩

TTPs clés:

  • Exploitation d’une n-day WinRAR (CVE-2025-8088) via ADS et traversée de répertoires.
  • Persistance par dépôt de LNK/HTA/BAT/CMD dans le Startup Windows.
  • Spearphishing avec documents leurres; chargeurs secondaires; usage de cloud public (Dropbox); C2 via Telegram; extension navigateur injectant du JS sur des sites bancaires; archives intégrées à un fichier HTML.

IOCs (extraits; liste complète disponible via la GTI Collection pour utilisateurs enregistrés):

  • 1_14_5_1472_29.12.2025.rar — 272c86c6db95f1ef8b83f672b65e64df16494cae261e1aba1aeb1e59dcb68524
  • 2_16_9_1087_16.01.2026.rar — 33580073680016f23bf474e6e62c61bf6a776e561385bfb06788a4713114ba9d
  • Desktop_Internet.lnk — edc1f7528ca93ec432daca820f47e08d218b79cceca1ee764966f8f90d6a58bd
  • підтверджуючі документи.pdf — defe25e400d4925d8a2bb4b1181044d06a8bf61688fd9c9ea59f1e0bb7bc21d8
  • 3-965_26.09.2025.HTA — ba86b6e0199b8907427364246f049efd67dc4eda0b5078f4bc7607253634cf24
  • Заява про скоєння злочину 3-965_26.09.2025.rar — cf8ebfd98da3025dc09d0b3bbeef874d8f9c4d4ba4937719f0a9a3aa04c81beb
  • Proposal_for_Cooperation_3415.05092025.rar — 5b64786ed92545eeac013be9456e1ff03d95073910742e45ff6b88a86e91901b
  • document.rar — bb4856a66bf7e0de18522e35798c0a8734179c1aab21ed2ad6821aaa99e1cb4c
  • update.bat — aea13e5871b683a19a05015ff0369b412b985d47eb67a3af93f44400a026b4b0
  • BrowserUpdate.lnk — b53069a380a9dd3dc1c758888d0e50dd43935f16df0f7124c77569375a9f44f5

Conclusion: article d’analyse de menace présentant l’exploitation en cours d’une vulnérabilité WinRAR par des acteurs variés, avec détails techniques, campagnes observées, écosystème d’exploits et IOCs pour la détection.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation d’une n-day WinRAR (CVE-2025-8088) via ADS et traversée de répertoires’, ‘Persistance par dépôt de LNK/HTA/BAT/CMD dans le Startup Windows’, ‘Spearphishing avec documents leurres’, ‘Chargeurs secondaires’, ‘Usage de cloud public (Dropbox)’, ‘C2 via Telegram’, ‘Extension navigateur injectant du JS sur des sites bancaires’, ‘Archives intégrées à un fichier HTML’]

IOC

[‘272c86c6db95f1ef8b83f672b65e64df16494cae261e1aba1aeb1e59dcb68524’, ‘33580073680016f23bf474e6e62c61bf6a776e561385bfb06788a4713114ba9d’, ’edc1f7528ca93ec432daca820f47e08d218b79cceca1ee764966f8f90d6a58bd’, ‘defe25e400d4925d8a2bb4b1181044d06a8bf61688fd9c9ea59f1e0bb7bc21d8’, ‘ba86b6e0199b8907427364246f049efd67dc4eda0b5078f4bc7607253634cf24’, ‘cf8ebfd98da3025dc09d0b3bbeef874d8f9c4d4ba4937719f0a9a3aa04c81beb’, ‘5b64786ed92545eeac013be9456e1ff03d95073910742e45ff6b88a86e91901b’, ‘bb4856a66bf7e0de18522e35798c0a8734179c1aab21ed2ad6821aaa99e1cb4c’, ‘aea13e5871b683a19a05015ff0369b412b985d47eb67a3af93f44400a026b4b0’, ‘b53069a380a9dd3dc1c758888d0e50dd43935f16df0f7124c77569375a9f44f5’]

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/exploiting-critical-winrar-vulnerability/