Selon Google Threat Intelligence Group (GTIG), cette rétrospective 2025 couvre 90 vulnérabilités zero‑day exploitées, met l’accent sur les techniques observées et évoque comment l’IA pourrait accélérer le paysage des vulnérabilités.

📈 Tendances clés. Pour la première fois, l’exploitation attribuée aux fournisseurs de surveillance commerciale (CSV) dépasse celle des groupes étatiques traditionnels, illustrant la démocratisation de l’accès aux zero‑days via ces vendeurs et leurs clients. Les groupes d’espionnage liés à la Chine (PRC‑nexus) demeurent toutefois les plus prolifiques parmi les acteurs étatiques (au moins 10 zero‑days, davantage qu’en 2024 mais moins qu’en 2023), ciblant surtout des équipements réseau/edge difficiles à surveiller (ex. CVE‑2025‑21590 par UNC3886, CVE‑2025‑0282 par UNC5221) et montrant une réduction du temps entre divulgation publique et exploitation de n‑days. À l’inverse de 2024, aucun zero‑day n’a été attribué à des groupes nord‑coréens en 2025.

💰 Acteurs financiers. GTIG a recensé neuf zero‑days exploités par des groupes à but lucratif, dont deux menant à du ransomware, proche du pic de 2023. Faits marquants : une vaste campagne d’extorsion revendiquée sous la marque CL0P (associée à FIN11) visant des clients Oracle E‑Business Suite (EBS) via CVE‑2025‑61882 et/ou CVE‑2025‑61884 exploités en zero‑day dès le 9 août 2025 (activité suspecte dès le 10 juillet). UNC2165 (chevauche Evil Corp) a employé CVE‑2025‑8088 pour un accès initial mi‑juillet 2025, avec des signes d’exploitation parallèle par un cluster recoupant CIGAR/UNC4895 (RomCom).

🧩 Focales techniques — échappements de sandbox navigateur. Les échappements ne visaient pas la sandbox générique, mais des composants OS ou matériels :

  • OS Windows: CVE‑2025‑2783 (Chrome) via mauvaise gestion de handles sentinelles et messages IPC (ipcz) menant à injection de code et évasion de sandbox.
  • Android ART: CVE‑2025‑48543 (UAF lors de désérialisation atteignable depuis un renderer Chrome via Binder/Notification Parcel) permettant une exécution arbitraire dans system_server.
  • GPU Qualcomm Adreno: CVE‑2025‑27038 (UAF via WebGL + glFenceSync), enchaîné avec CVE‑2024‑0519 (renderer Chrome) et CVE‑2023‑33106 (KGSL).
  • GPU Mali: CVE‑2025‑6558 (écriture OOB via glBufferData/Transform Feedback), corrigé dans ANGLE, exploité avec CVE‑2025‑5419 (renderer Chrome) et CVE‑2025‑38352 (timers posix Linux).
  • Apple Metal backend: CVE‑2025‑14174 (mauvaise taille de buffer dans ANGLE/texImage2D) causant un accès mémoire hors limites dans le driver utilisateur Metal.

🛠️ Chaîne complète SonicWall SMA 1000. GTIG a collecté en fin 2025 une chaîne multi‑étapes offrant RCE root sur SMA 1000 :

  • Bypass d’authentification (n‑day) via Central Management/SSO, corrigé comme CVE‑2025‑23006 (exploité in‑the‑wild avant le patch de janv. 2025).
  • RCE (n‑day) par désérialisation Java sans contrôle d’intégrité entre client et appliance ; mitigation silencieuse en mars 2024 par chiffrement AES‑256‑ECB avec clé éphémère (pas de CVE).
  • Élévation locale de privilèges (zero‑day) dans le service Python ctrl‑service exposé en loopback (port 8081), corrigée en déc. 2025 par CVE‑2025‑40602 (vérification de signature).

🖼️ DNG sur Samsung (Quram). Des images DNG malveillantes (virus submissions juill. 2024–fév. 2025) visaient la bibliothèque Quram (Samsung), atteignables via MediaStore lorsque des images reçues sur WhatsApp sont téléchargées (scénario 1‑click). La vulnérabilité CVE‑2025‑21042 permet une écriture hors limites contrôlée et une exécution de code dans le service com.samsung.ipservice (non sandboxé), facilitée par l’absence de PAC/BTI, un scudo peu durci et des primitives de heap‑spray inhérentes au format DNG. GTIG note que CVE‑2025‑21043 et CVE‑2025‑43300 partagent les mêmes conditions d’exploitation. 🔎 Un billet Project Zero détaille l’analyse technique.

IOC et TTPs

  • IOCs: aucun indicateur réseau/fichier explicite fourni (pas d’IP, domaines, hachages).
  • TTPs: exploitation de zero‑days par CSVs pour des clients variés ; focalisation PRC sur appareils edge/réseau ; massification rapide après divulgation de n‑days ; campagnes d’extorsion ciblant Oracle EBS (emails aux dirigeants) ; désérialisation Java pour RCE (SMA 1000) + LPE via service local ; échappements sandbox via composants OS/GPU ; livraison d’exploits DNG via WhatsApp activés par MediaStore ; chaînes d’exploits multi‑étapes sur Chrome/Android/Linux/Metal.

Type d’article: rétrospective et analyse technique des tendances et techniques d’exploitation de zero‑days en 2025 par GTIG.

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/2025-zero-day-review?hl=en