Le groupe de cyberespionnage Paper Werewolf utilise des techniques avancées pour contourner la sécurité des emails en intégrant des logiciels malveillants dans des fichiers d’archives apparemment légitimes. Cette méthode exploite l’utilisation généralisée de ces pièces jointes dans les communications professionnelles. Malgré leur sophistication, ces attaquants utilisent souvent des tactiques détectables, soulignant l’importance d’une surveillance continue des incidents dans les environnements d’entreprise.
En juillet 2025, une campagne de phishing a été découverte, où les attaquants se faisaient passer pour une institution de recherche russe, envoyant des emails depuis un compte compromis. Ces emails contenaient une archive RAR exploitant une vulnérabilité de WinRAR, permettant l’extraction de fichiers malveillants en dehors de leurs répertoires prévus, comme le dossier de démarrage, permettant une exécution automatique.
L’archive déployait un exécutable modifié avec un shellcode intégré pour une connexion de shell inversé à un serveur de commande et de contrôle. Les attaquants ont utilisé des techniques d’obfuscation pour échapper à la détection, tandis que des fichiers leurres dans l’archive dissimulaient l’attaque.
Paper Werewolf a intensifié ses opérations en exploitant une vulnérabilité zero-day inconnue jusqu’alors dans WinRAR, corrigée dans la version 7.13. Ce défaut permet d’écrire des charges utiles arbitraires dans les répertoires système, facilitant les attaques par traversée de répertoires. Les attaques récentes impliquaient des fichiers RAR malveillants déployant un chargeur .NET qui récupère et exécute des charges utiles distantes depuis des serveurs de contrôle.
Le chargeur empêche les instances multiples et interroge le serveur avec les détails de la victime, utilisant des chaînes User-Agent spécifiques pour se fondre dans le trafic légitime. En cas de succès, il charge une assembly .NET et exécute des méthodes configurées.
Ces incidents soulignent l’accent mis par le groupe sur l’exploitation des vulnérabilités des outils de compression combinée à l’ingénierie sociale pour l’accès initial. Les organisations sont encouragées à mettre à jour WinRAR, à surveiller les extractions d’archives inhabituelles et à analyser le trafic réseau vers des domaines suspects. Les tactiques détectables, telles que les pixels de suivi intégrés, offrent des opportunités de détection précoce grâce à l’analyse comportementale.
