Zero-day Adobe Reader exploité via PDF malveillant pour fingerprinting et exfiltration de données

🔍 Contexte

L’article est publié le 9 avril 2026 sur le blog EXPMON (justhaifei1.blogspot.com). Il documente la détection et l’analyse d’un exploit PDF zero-day sophistiqué ciblant Adobe Reader, initialement soumis sur la plateforme EXPMON Public le 26 mars, et présent sur VirusTotal depuis le 23 mars avec un faible taux de détection (5/64).

🎯 Nature de l’attaque

L’exploit repose sur une vulnérabilité zero-day non patchée dans Adobe Reader (confirmée sur la version 26.00121367, la plus récente au moment de l’analyse). Il ne nécessite aucune interaction utilisateur au-delà de l’ouverture du fichier PDF.

Le fichier malveillant (yummy_adobe_exploit_uwu.pdf) contient du JavaScript fortement obfusqué, encodé en base64 dans un champ de formulaire (btn1). Le code est décodé et exécuté dynamiquement via app.setTimeOut().

⚙️ Mécanisme technique

L’exploit abuse de deux APIs Acrobat privilégiées :

• util.readFileIntoStream() : lecture de fichiers arbitraires accessibles par le processus Reader sandboxé (ex : ntdll.dll, fichiers .png dans system32)
• RSS.addFeed() : double usage — exfiltration des données collectées vers un serveur distant ET réception de JavaScript supplémentaire à exécuter

Les données collectées incluent : langue système, version Adobe Reader, version exacte de l’OS (calculée depuis ntdll.dll), chemin local du PDF.

Le payload retourné par le serveur est chiffré pour contourner la détection réseau. Le User-Agent utilisé contient la chaîne “Adobe Synchronizer”.

🌐 Infrastructure C2

• Serveur principal : 169.40.2.68:45191 (actif au moment des tests)
• Variante découverte le 8 avril 2026 par @greglesnewich : 188.214.34.20:34123 (échantillon VT daté du 28 novembre 2025)

La présence de cette variante datant de novembre 2025 indique que la campagne est active depuis au moins 4 mois.

💥 Impact potentiel

• Exfiltration de fichiers locaux (confirmée en test)
• Fingerprinting avancé de la cible
• Exécution de code à distance (RCE) et échappement de sandbox (SBX) potentiels via payload secondaire
• Contrôle total du système victime si RCE/SBX délivré

📄 Type d’article

Il s’agit d’une analyse technique publiée par un chercheur en sécurité, visant à alerter la communauté et Adobe Security sur une vulnérabilité zero-day active, en fournissant des détails techniques et des IoCs exploitables.

🧠 TTPs et IOCs détectés

TTP

• T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
• T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1082 — System Information Discovery (Discovery)
• T1005 — Data from Local System (Collection)
• T1573 — Encrypted Channel (Command and Control)
• T1033 — System Owner/User Discovery (Discovery)
• T1497 — Virtualization/Sandbox Evasion (Defense Evasion)

IOC

• IPv4 : 169.40.2.68 — AbuseIPDB · VT · ThreatFox
• IPv4 : 188.214.34.20 — AbuseIPDB · VT · ThreatFox
• Fichiers : yummy_adobe_exploit_uwu.pdf

🟡 Indice de vérification factuelle : 58/100 (moyenne)

• ⬜ justhaifei1.blogspot.com — source non référencée (0pts)
• ✅ 11824 chars — texte complet (fulltext extrait) (15pts)
• ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 1/2 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, VirusTotal) (8pts)
• ✅ 9 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 188.214.34.20 (ip) → VT (3/94 détections)

🔗 Source originale : https://justhaifei1.blogspot.com/2026/04/expmon-detected-sophisticated-zero-day-adobe-reader.html