Gamaredon exploite une faille WinRAR (CVE-2025-6218) pour cibler l’Ukraine via des archives piégées
Selon le blog Synaptic Systems, l’APT russe « Primitive Bear »/« Gamaredon » (attribué au FSB) mène depuis octobre–novembre 2025 une campagne de spear‑phishing ciblant des entités ukrainiennes, en s’appuyant sur des archives RAR piégées et des leurres en langue ukrainienne (documents administratifs et militaires). Les échantillons observés partagent une structure quasi identique et exploitent la vulnérabilité WinRAR CVE-2025-6218. La faille CVE-2025-6218 est une traversée de répertoires menant à une exécution de code dans WinRAR (≤ 7.11) permettant d’écrire hors du dossier d’extraction, notamment dans le dossier Startup de l’utilisateur. Une fois l’archive ouverte (interaction minimale), un fichier .hta est déposé de manière furtive dans Startup et s’exécute au prochain login, avec les privilèges de l’utilisateur. Le correctif est disponible à partir de WinRAR 7.12 (Beta 1). ...