Une faille dans un outil aussi banal que 7-Zip devient un vecteur d’attaque redoutable pour des acteurs russes. Qui aurait cru qu’une vulnérabilité dans un logiciel d’archivage pourrait causer autant de dégâts ?
Référencée sous CVE-2025-0411, la faille 7-Zip a permis aux attaquants russes de contourner les protections Mark-of-the-Web (MotW) de Windows. En encapsulant deux fois des fichiers malveillants, ils échappent aux mécanismes de sécurité habituels.
Une simple archive, une grande menace
La faille CVE-2025-0411 provient d’un dysfonctionnement spécifique dans 7-Zip. Avant sa correction dans la version 24.09, le logiciel ne transférait pas correctement les protections MotW aux fichiers doublement encapsulés.
Ce problème critique permet ainsi aux hackers de dissimuler des scripts ou exécutables malveillants dans des archives complexes. Ces fichiers échappent alors aux mécanismes de sécurité Windows, exposant les utilisateurs à des risques majeurs.
Les premières exploitations de cette faille ont été repérées dès le 25 septembre 2024, sous forme de zero-day. Derrière cette brèche se trouvent des acteurs russes spécialisés dans les campagnes de spear-phishing. Leurs cibles ? Des organisations gouvernementales et indépendantes en Ukraine.
Faille 7-Zip, une arme dans les mains des cybercriminels russes
Selon Peter Girnus, chercheur chez Trend Micro, ces attaques utilisent des méthodes ingénieuses pour tromper les utilisateurs. Par exemple, ils mènent des attaques par homoglyphe pour usurper les extensions de documents. Les victimes reçoivent alors des e-mails qui semblent provenir de sources fiables, rendant la tâche des pirates encore plus efficace.
Une fois ouvert, le malware déclenche une série d’événements précis. Un raccourci Internet (URL) pointe vers un serveur contrôlé par les attaquants, où un nouveau fichier est téléchargé. Ce dernier contient souvent SmokeLoader, un malware couramment utilisé dans ce type d’opérations.
En quelques secondes, les systèmes sont compromis. « Ces tactiques présentent des similitudes avec celles de FIN7 », explique Koushik Pal, chercheur chez CloudSEK. Ces liens suggèrent une collaboration étroite entre différents groupes malveillants.
Des conséquences locales et des implications globales
Si les premières victimes sont en Ukraine, notamment au sein du ministère de la Justice et du service de transport public de Kyiv, les répercussions pourraient aller bien au-delà. Cette campagne a également au moins neuf entités gouvernementales. Les petites administrations locales, habituellement négligées en matière de cybersécurité, deviennent des points d’entrée idéaux pour ces acteurs malveillants.
Comme le note Girnus, ces organisations manquent cruellement de ressources pour adopter des stratégies robustes. Cela les rend particulièrement vulnérables face à des menaces toujours plus élaborées.
Face à cette menace croissante, il est essentiel de rester vigilant. Mettre à jour son installation vers la dernière version de 7-Zip 24.09 constitue déjà une étape importante. Activer des filtres de messagerie pour bloquer les tentatives de phishing est aussi crucial.
