Gamaredon Exploits WinRAR to Deliver GammaWorm and GammaSteel Against Ukraine

1 minute de lecture

Mis à jour : June 02, 2026

Campagne d’espionnage Gamaredon : Exploitation de WinRAR contre l’Ukraine

Le groupe de hackers russe Gamaredon (lié au FSB) mène actuellement une campagne d’espionnage ciblée contre l’Ukraine en exploitant une vulnérabilité de traversée de chemin dans WinRAR. Cette chaîne d’infection modulaire permet le déploiement de plusieurs familles de logiciels malveillants sophistiqués.

Points clés :

Vecteur d’attaque : Utilisation d’archives RAR piégées envoyées par hameçonnage (spear-phishing).
Chaîne d’infection : L’exploitation de WinRAR exécute un fichier HTA (GammaPhish), qui télécharge un script intermédiaire (GammaLoad) pour préparer l’environnement.
Persistence et propagation : Le ver GammaWorm infecte les lecteurs réseau et clés USB en remplaçant des dossiers légitimes par des raccourcis malveillants (LNK).
Exfiltration : Le voleur d’informations GammaSteel capture des fichiers ciblés et les exfiltre vers des serveurs distants ou des buckets AWS S3.
Techniques d’évasion : Utilisation de canaux Telegram pour le C2 (Command & Control), de flux de données alternatifs (ADS) NTFS pour masquer les fichiers, et de configurations dynamiques modifiables à distance.

Vulnérabilité exploitée :

CVE-2025-8088 : Faille de traversée de chemin (path traversal) dans WinRAR, permettant l’exécution de code arbitraire via des archives spécialement conçues.

Recommandations :

Mise à jour immédiate : Appliquer les derniers correctifs de sécurité pour WinRAR afin de neutraliser la CVE-2025-8088.
Filtrage des accès : Restreindre l’exécution automatique des fichiers LNK et bloquer les scripts HTA si leur usage n’est pas strictement nécessaire.
Surveillance réseau : Surveiller les connexions inhabituelles vers des plateformes légitimes (comme Telegram) utilisées à des fins de C2 et inspecter les flux de données alternatifs (ADS) sur les systèmes critiques.
Sensibilisation : Renforcer la vigilance des utilisateurs face aux pièces jointes non sollicitées, particulièrement dans les secteurs militaires et gouvernementaux.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Gamaredon Exploits WinRAR to Deliver GammaWorm and GammaSteel Against Ukraine

Campagne d’espionnage Gamaredon : Exploitation de WinRAR contre l’Ukraine

Partager sur

Vous pourriez aimer

What 345 Days of Untested Exposure Looks Like at a Bank

Le danger de l’exposition prolongée : Pourquoi les tests annuels sont insuffisants

Welcoming the Philippine Government to Have I Been Pwned

Le gouvernement philippin rejoint le service de surveillance HIBP

Weedhack Attacks Minecraft Users, CountLoader Hits 86K, Miners Spread via Pirated Content

Menaces émergentes : Malware-as-a-Service, loaders et mineurs malveillants

VS Code zero-day lets hackers steal GitHub tokens in one click

Vulnérabilité zero-day dans VS Code : vol de jetons GitHub