Cybercriminalité russe : cette faille exploitée pourrait-elle déclencher une crise mondiale ?

Une faille dans un outil aussi banal que 7-Zip devient un vecteur d’attaque redoutable pour des acteurs russes. Qui aurait cru qu’une vulnérabilité dans un logiciel d’archivage pourrait causer autant de dégâts ? 

Référencée sous CVE-2025-0411, la faille 7-Zip a permis aux attaquants russes de contourner les protections Mark-of-the-Web (MotW) de Windows. En encapsulant deux fois des fichiers malveillants, ils échappent aux mécanismes de sécurité habituels.

Une simple archive, une grande menace   

La faille CVE-2025-0411 provient d’un dysfonctionnement spécifique dans 7-Zip. Avant sa correction dans la version 24.09, le logiciel ne transférait pas correctement les protections MotW aux fichiers doublement encapsulés.

Ce problème critique permet ainsi aux hackers de dissimuler des scripts ou exécutables malveillants dans des archives complexes. Ces fichiers échappent alors aux mécanismes de sécurité Windows, exposant les utilisateurs à des risques majeurs.

Les premières exploitations de cette faille ont été repérées dès le 25 septembre 2024, sous forme de zero-day. Derrière cette brèche se trouvent des acteurs russes spécialisés dans les campagnes de spear-phishing. Leurs cibles ? Des organisations gouvernementales et indépendantes en Ukraine.

Faille 7-Zip, une arme dans les mains des cybercriminels russes

Selon Peter Girnus, chercheur chez Trend Micro, ces attaques utilisent des méthodes ingénieuses pour tromper les utilisateurs. Par exemple, ils mènent des attaques par homoglyphe pour usurper les extensions de documents. Les victimes reçoivent alors des e-mails qui semblent provenir de sources fiables, rendant la tâche des pirates encore plus efficace.

Une fois ouvert, le malware déclenche une série d’événements précis. Un raccourci Internet (URL) pointe vers un serveur contrôlé par les attaquants, où un nouveau fichier est téléchargé. Ce dernier contient souvent SmokeLoader, un malware couramment utilisé dans ce type d’opérations.

En quelques secondes, les systèmes sont compromis. « Ces tactiques présentent des similitudes avec celles de FIN7 », explique Koushik Pal, chercheur chez CloudSEK. Ces liens suggèrent une collaboration étroite entre différents groupes malveillants.

Des conséquences locales et des implications globales  

Si les premières victimes sont en Ukraine, notamment au sein du ministère de la Justice et du service de transport public de Kyiv, les répercussions pourraient aller bien au-delà. Cette campagne a également au moins neuf entités gouvernementales. Les petites administrations locales, habituellement négligées en matière de cybersécurité, deviennent des points d’entrée idéaux pour ces acteurs malveillants.

Comme le note Girnus, ces organisations manquent cruellement de ressources pour adopter des stratégies robustes. Cela les rend particulièrement vulnérables face à des menaces toujours plus élaborées.

Face à cette menace croissante, il est essentiel de rester vigilant. Mettre à jour son installation vers la dernière version de 7-Zip 24.09 constitue déjà une étape importante. Activer des filtres de messagerie pour bloquer les tentatives de phishing est aussi crucial.

ARTICLES SIMILAIRES

Packages AsyncAPI npm compromis : une porte ouverte à un malware botnet multi-étapes

Une campagne de compromission touchant les packages AsyncAPI sur npm expose un nouveau malware. Ces

16 juillet 2026

OkoBot intègre du phishing de phrases secrètes dans les applications Ledger et Trezor

Le framework malveillant OkoBot cible les utilisateurs de portefeuilles matériels de cryptomonnaies. Il intègre un

15 juillet 2026

Jeux d’argent en ligne : la fraude explose selon Sumsub

Le nouveau baromètre de Sumsub met en lumière une forte progression de la fraude dans

14 juillet 2026

Qu’est-ce qu’une porte dérobée et quelles sont ses implications ?

La porte dérobée est un mécanisme occulte délibérément introduit dans un système informatique pour contourner

11 juillet 2026

Deepfakes vocaux : les nouvelles armes des fraudeurs

Les voix clonées par intelligence artificielle ne relèvent plus de la science-fiction. Faciles à produire

9 juillet 2026

PamStealer exploite de faux sites Maccy et des contrôles PAM

Le malware PamStealer touche désormais les Mac Apple Silicon. Ce logiciel malveillant use de fausses

3 juillet 2026