En juillet 2025, une campagne de cyberattaques sophistiquées a été découverte, ciblant des organisations russes via des vulnérabilités du logiciel WinRAR. Les acteurs malveillants, connus sous le nom de Paper Werewolf, ont mené une série d’attaques de phishing exploitant une vulnérabilité connue, CVE-2025-6218, dans les versions de WinRAR jusqu’à la 7.11. Cette faille leur permettait d’exécuter du code à distance en distribuant des fichiers RAR malveillants qui extrayaient des exécutables nuisibles en dehors des répertoires prévus, établissant une connexion de shell inversé à un serveur de commande.
Une enquête plus approfondie a révélé une vulnérabilité zero-day encore plus préoccupante affectant les versions de WinRAR jusqu’à la 7.12, qui manipulait la gestion des flux de données alternatifs. Cela permettait l’installation de charges utiles arbitraires dans les répertoires système, établissant une persistance et téléchargeant du contenu malveillant supplémentaire.
La connexion de la campagne aux marchés clandestins de cybercriminalité a été suggérée par des publications sur des forums annonçant un exploit zero-day de WinRAR pour 80 000 dollars. Bien que le lien reste non confirmé, cela soulève des inquiétudes quant à la commercialisation des codes d’exploitation. Les vulnérabilités ont été corrigées dans la version 7.13 de WinRAR, soulignant l’importance des mises à jour logicielles et d’une surveillance de sécurité complète pour contrer ces méthodes sophistiquées de distribution de logiciels malveillants.
