Des chercheurs en sécurité ont découvert deux vulnérabilités zero-day précédemment inconnues, qui sont actuellement exploitées par RomCom, un groupe de hackers lié à la Russie, pour cibler les utilisateurs du navigateur Firefox et les propriétaires d’appareils Windows en Europe et en Amérique du Nord.

RomCom est un groupe de cybercriminalité reconnu pour mener des cyberattaques et d’autres intrusions numériques au service du gouvernement russe. Le groupe, qui a récemment été associé à une attaque par ransomware visant le géant technologique japonais Casio, se distingue également par son agressivité à l’encontre des organisations alliées à l’Ukraine, que la Russie a envahie en 2014.

Les chercheurs de la société de sécurité ESET rapportent avoir trouvé des preuves que RomCom a combiné l’utilisation des deux vulnérabilités zero-day pour créer un exploit “zero click”, permettant aux hackers d’installer à distance des logiciels malveillants sur l’ordinateur de la cible sans aucune interaction de la part de l’utilisateur.

« Ce niveau de sophistication démontre la capacité et l’intention de l’acteur malveillant de développer des méthodes d’attaque furtives », ont indiqué les chercheurs d’ESET, Damien Schaeffer et Romain Dumont, dans un article de blog publié lundi.

Pour déclencher l’exploit zero-click, les cibles de RomCom devaient visiter un site malveillant contrôlé par le groupe de hackers. Une fois que l’exploitation a eu lieu, la porte dérobée éponyme de RomCom serait installée sur l’ordinateur de la victime, permettant un accès étendu à son appareil.

Schaeffer a déclaré à TechCrunch que le nombre de victimes potentielles de la campagne de hacking de RomCom variait d’une seule victime par pays à environ 250 victimes, la majorité des cibles étant situées en Europe et en Amérique du Nord.

Mozilla a corrigé la vulnérabilité dans Firefox le 9 octobre, un jour après que ESET a alerté le développeur du navigateur. Le Tor Project, qui développe le Tor Browser basé sur le code de Firefox, a également corrigé la vulnérabilité ; toutefois, Schaeffer a précisé à TechCrunch qu’ESET n’avait pas constaté d’éléments indiquant que le Tor Browser avait été exploité durant cette campagne de hacking.

Microsoft a corrigé la vulnérabilité affectant Windows le 12 novembre. Des chercheurs en sécurité du groupe d’analyse des menaces de Google, qui enquête sur les cyberattaques et les menaces soutenues par des gouvernements, ont signalé le bogue à Microsoft, suggérant que l’exploit pourrait avoir été utilisé dans d’autres campagnes de hacking soutenues par des gouvernements.