Le groupe RomCom aurait installé, par ce biais, des charges malveillantes sur des machines situées dans l’Union européennes, aux États-Unis et au Canada.

Les chercheurs en cybersécurité de la société slovaque ESET ont publié, le 26 novembre 2024, un rapport sur deux failles de sécurité 0-day dans Firefox et Windows. Ils y détaillent comment le groupe cybercriminel étatique russe RomCom a réussi à combiner ces deux vulnérabilités pour générer un exploit zero-click. Pour le déclencher, il suffisait qu’un internaute équipé d’une machine sous Windows se rende sur un site malveillant précis avec le navigateur Firefox.

L’exploit installait alors sur le terminal vulnérable une porte dérobée. Cette dernière permettait aux cybercriminels d’exécuter des commandes à distance et de délivrer de nouvelles charges malveillantes. Mozilla a déployé des correctifs à la vulnérabilité pour Firefox le 9 octobre 2024, et Microsoft a fait de même pour Windows le 12 novembre 2024.

Le rapport d’ESET contient aussi une télémétrie du nombre de victimes potentielles par pays, correspondant aux personnes y ayant visité un site distribuant la porte dérobée. Sont concernés la plupart des pays de l’Union européenne, ainsi que les États-Unis, le Canada et la Nouvelle-Zélande La France figure au second rang des États les plus touchés, derrière la République tchèque, avec un nombre d’entités ciblées s’approchant de 250.

ESET ne propose en revanche pas de typologie de ces victimes potentielles. Mais RomCom s’est distingué, par le passé, par ses opérations de cyber-espionnage contre des organisations gouvernementales et de défense.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.