Faille WinRAR zéro-jour : détecter plus vite avec l’IA

Le 18/07/2025, des chercheurs ont observé une attaque qui ressemble à un détail banal de messagerie d’été : un CV en pièce jointe au format RAR. Sauf que cette archive cachait un zéro‑jour WinRAR (CVE‑2025‑8088) activement exploité « dans la nature ». Le genre d’incident qui, sur le papier, se règle par un simple “mettez à jour”. Dans la vraie vie, c’est plus brutal : si votre organisation traite des candidatures, des devis, des dossiers logistiques ou des échanges fournisseurs, vous avez déjà le canal idéal pour vous faire piéger.

Cette affaire est un cas d’école pour notre série « Intelligence artificielle dans la cybersécurité » : les vulnérabilités zéro‑jour imposent de détecter des comportements (une extraction qui dépose des fichiers au mauvais endroit, une persistance qui s’installe) avant même de “connaître” la faille. Et c’est précisément là que l’IA, bien utilisée, fait gagner du temps.

Ce que permet CVE‑2025‑8088 (et pourquoi c’est perfide)

La réalité ? Une vulnérabilité n’est dangereuse que lorsqu’elle s’insère facilement dans un scénario crédible. Ici, l’attaque est crédible parce qu’elle s’appuie sur un geste quotidien : extraire une archive.

CVE‑2025‑8088 est une vulnérabilité de type “path traversal” dans WinRAR et des composants associés (outils en ligne de commande Windows, UnRAR.dll, code source portable UnRAR). Les attaquants utilisent un mécanisme Windows moins connu du grand public : les Alternate Data Streams (ADS), des “flux” supplémentaires qu’un fichier peut porter, invisibles dans une interface classique.

Comment l’archive trompe l’utilisateur

Le point fort de l’attaque, c’est l’illusion : l’archive semble contenir un seul fichier inoffensif (par exemple un CV). En coulisses, elle contient plusieurs ADS qui, lors de l’extraction, sont déployés silencieusement.

Le résultat observé dans la campagne :

• dépôt d’un DLL/EXE malveillant dans %TEMP% ou %LOCALAPPDATA%
• dépôt d’un fichier LNK dans le dossier de démarrage Windows (Startup) pour obtenir de la persistance

Le “truc” supplémentaire, assez cynique : les attaquants ajoutent aussi des ADS “leurres” qui déclenchent des erreurs visibles, afin de noyer les chemins réellement suspects (ceux qui déposent DLL et LNK) dans une liste plus longue. Beaucoup d’utilisateurs s’arrêtent au premier message d’erreur et cliquent quand même.

Ce que l’on apprend sur RomCom : un groupe qui industrialise le zéro‑jour

Le groupe attribué à ces activités est RomCom (aussi connu sous d’autres noms). Ce n’est pas un acteur opportuniste “basique” : il alterne cybercriminalité et espionnage ciblé. Et surtout, ce n’est pas la première fois qu’il utilise des vulnérabilités inédites.

Dans cette campagne WinRAR, la fenêtre d’attaque observée s’étend du 18 au 21/07/2025, via spearphishing (pièce jointe) et une mise en scène simple : des candidatures à des postes, des CV, des dossiers RH. Les secteurs visés incluent notamment finance, industrie, défense, logistique, en Europe et au Canada.

Trois chaînes d’exécution typiques (pour comprendre ce que vos outils doivent voir)

Même si vos équipes ne font pas de reverse engineering, il faut retenir un principe : les zéros‑jours passent, mais les comportements restent. Ici, trois variantes ont été observées :

1. Chaîne “agent Mythic” : un LNK modifie le registre puis déclenche l’exécution d’un DLL via COM hijacking. Le code déchiffre du shellcode (AES) et contacte ensuite un serveur de commande.
2. Chaîne “SnipBot variant” : un exécutable modifié (dérivé d’un outil légitime) déchiffre du shellcode. L’attaque ne s’exécute que si un artefact d’usage est présent (ex. suffisamment de documents récents), une technique de contournement des sandbox.
3. Chaîne “RustyClaw / MeltingClaw” : un downloader en Rust récupère un autre payload et installe une communication C2.

Une phrase à garder en tête : ces attaques ne cherchent pas seulement à “entrer”, elles cherchent à rester (persistence) et à se cacher (guardrails, anti‑analyse, signatures invalides).

Pourquoi la mise à jour ne suffit plus (et où l’IA devient utile)

Mettre à jour WinRAR est indispensable. Mais compter uniquement sur les correctifs, c’est accepter un angle mort : le délai entre exploitation et patch, et le délai entre patch et déploiement dans votre parc.

L’IA n’est pas une baguette magique. En revanche, elle est très efficace pour trois choses concrètes, immédiatement actionnables : détection comportementale, corrélation multi‑signaux, priorisation et réponse.

1) Détection comportementale : repérer l’extraction “anormale”

Dans un monde idéal, un outil de sécurité devrait lever un drapeau lorsque :

• une extraction d’archive écrit dans des emplacements sensibles (Startup, AppData, Temp) avec des chemins relatifs ou inhabituels
• un fichier extrait est un LNK ou un DLL alors que l’utilisateur s’attend à un PDF/DOCX
• l’extraction est suivie immédiatement d’une modification du registre liée à l’exécution automatique

Les modèles d’IA (ou de machine learning) appliqués à la télémétrie endpoint peuvent apprendre des profils “normaux” : quels types de fichiers sont extraits, où, par quels utilisateurs, à quelles heures. L’intérêt, c’est que ce signal fonctionne même quand la faille est inconnue.

Une extraction qui dépose un LNK dans Startup est un indicateur plus stable qu’un hash.

2) Corrélation : relier email, endpoint et réseau en une seule histoire

Un incident comme CVE‑2025‑8088 traverse plusieurs couches :

• Email : pièce jointe RAR, nommage “CV”, expéditeur externe
• Endpoint : extraction, drop de DLL/LNK, persistance
• Réseau : contact HTTP(S) vers une infrastructure nouvellement vue

L’IA aide à regrouper ces signaux et à éviter l’alerte isolée qui se perd dans le bruit. Concrètement, un moteur de corrélation assisté par IA peut remonter un incident unique : “Pièce jointe RAR → extraction → création LNK Startup → exécution binaire → connexion sortante suspecte”.

3) Priorisation et réponse : gagner des heures quand ça compte

Quand une campagne vise la finance, la défense ou la logistique, l’objectif n’est pas forcément le ransomware immédiat. Ça peut être du vol d’identifiants, de l’exfiltration discrète, ou la préparation d’un mouvement latéral.

Les systèmes de réponse automatisée (SOAR) augmentés par IA peuvent recommander — et parfois exécuter — des actions à faible risque :

• isoler temporairement le poste si persistance détectée (LNK Startup + modification registre)
• bloquer l’exécution d’un binaire fraîchement déposé dans %TEMP%
• mettre en quarantaine l’email source et rechercher les pièces jointes similaires
• lancer une chasse (threat hunting) sur des motifs : création de LNK dans Startup, COM hijacking, exécutions depuis AppData

L’important : réduire le temps entre le premier signal et la décision.

Checklist opérationnelle : quoi faire lundi matin dans votre organisation

Vous voulez du concret. Voici une liste pragmatique, pensée pour DSI, RSSI, SecOps et IT Ops.

Mesures immédiates (0–48h)

1. Mettre à jour WinRAR sur tous les postes/serveurs concernés.
2. Identifier les dépendances : applications internes ou éditeurs qui embarquent UnRAR.dll ou du code UnRAR.
3. Durcir le canal RH : traiter les pièces jointes d’inconnus (RAR/ZIP) via un environnement isolé (sandbox) et des règles strictes.
4. Ajouter une règle de détection : création/écriture de .lnk dans le dossier Startup + processus parent lié à un outil d’archivage.

Mesures de fond (2–6 semaines)

• Mettre en place une politique de fichiers : limiter/exiger justification sur l’usage de RAR dans l’entreprise (souvent, ZIP suffit).
• Activer une surveillance renforcée des emplacements %TEMP%, %LOCALAPPDATA% et Startup (créations + exécutions).
• Déployer des capacités de détection comportementale (EDR) et de corrélation (SIEM) avec des modèles adaptés à votre contexte.
• Faire un exercice “zéro‑jour” : “et si demain, l’exploit est inconnu ?” — l’objectif est de valider vos signaux comportementaux.

Ce que l’IA doit apprendre chez vous (et pas dans un labo)

J’ai constaté que beaucoup d’organisations “achètent de l’IA” mais oublient l’essentiel : définir ce qu’est le normal.

• Quels services extraient des archives en production ?
• Quels utilisateurs manipulent des RAR ?
• À quels endroits vos outils légitimes écrivent-ils (Startup ne devrait presque jamais être “normal”) ?

Sans ce socle, l’IA génère soit trop d’alertes, soit trop de silence.

Questions que vos équipes vont poser (et les réponses utiles)

“Est-ce que seuls les utilisateurs de WinRAR sont à risque ?”

Non. Les composants réutilisés (outils en ligne de commande, UnRAR.dll, code UnRAR intégré) peuvent exposer d’autres logiciels. D’où l’importance de l’inventaire des dépendances.

“Pourquoi les attaques passent par des CV et des dossiers RH ?”

Parce que c’est un flux à fort taux d’ouverture, souvent externe, et que les utilisateurs s’attendent à manipuler des pièces jointes. C’est une surface d’attaque “socialement acceptable”.

“Qu’est-ce que je dois surveiller si je n’ai pas les IoC exacts ?”

Surveillez les comportements : extraction → drop de LNK/DLL → persistance → exécution depuis AppData/Temp → connexions sortantes nouvelles.

Ce que cet incident dit de 2026 : l’automatisation devient la norme

CVE‑2025‑8088 rappelle une vérité simple : la vitesse est devenue un avantage offensif. Entre un zér o‑jour, un email bien ciblé et un geste utilisateur banal, une organisation peut passer de “rien à signaler” à “poste persistant” en quelques minutes.

La meilleure réponse, c’est un duo : hygiène de patching + détection assistée par IA centrée sur les comportements. Si votre sécurité dépend encore principalement de signatures, vous jouez avec un temps de retard.

Si vous deviez choisir une seule action à court terme : instrumenter et alerter sur les extractions d’archives qui écrivent dans Startup et AppData, puis automatiser la collecte et la corrélation de ces signaux. C’est là que l’IA a un impact immédiat, mesurable, et utile pour générer des leads côté cybersécurité : elle transforme un incident “technique” en un plan de réduction du risque.

Et vous, dans vos flux métiers (RH, achats, logistique), où se cache le prochain “fichier banal” qui pourrait déclencher une chaîne d’exécution ?