Des raccourcis Windows piégés : l’arme secrète des hackers d’État chinois, russes et nord-coréens

Posted On 20 Mar 2025

Depuis 2017, une vulnérabilité des fichiers de raccourcis Windows (.lnk) est exploitée par des groupes de hackers d’État, notamment de Chine, de Russie et de Corée du Nord, menaçant la sécurité mondiale.

Une faille insoupçonnée dans les fichiers de raccourcis Windows (.lnk) sert d’outil aux hackers d’État depuis 2017. Des groupes originaires de Chine, de Russie et de Corée du Nord l’exploitent pour mener des campagnes d’espionnage et de vol de données à grande échelle. Cette vulnérabilité, identifiée sous le nom de ZDI-CAN-25373, permet l’exécution de commandes malveillantes dissimulées, échappant ainsi à la vigilance des utilisateurs et des systèmes de sécurité. Malgré la gravité de la situation, Microsoft n’a pas encore publié de correctif, laissant de nombreuses organisations exposées à ces attaques sophistiquées.

Les dessous de la vulnérabilité ZDI-CAN-25373

Les fichiers de raccourcis Windows, connus sous l’extension .lnk, facilitent l’accès rapide à des applications ou des dossiers. Cependant, des hackers ont découvert que ces fichiers pouvaient être manipulés pour exécuter des commandes malveillantes à l’insu des utilisateurs. En modifiant l’icône ou en ajoutant des extensions trompeuses comme « .pdf.lnk », ils incitent les victimes à ouvrir ces fichiers piégés, déclenchant ainsi l’exécution de codes nuisibles.

Depuis 2017, onze groupes de hackers sponsorisés par des États, principalement de Corée du Nord, d’Iran, de Russie et de Chine, exploitent cette faille. Parmi eux, des groupes nord-coréens tels que Kimsuky et APT37 se distinguent par leur utilisation intensive de cette vulnérabilité, démontrant une collaboration étroite et un partage d’outils au sein du programme cybernétique nord-coréen.

Des cibles variées et des motivations multiples

Malgré la gravité de la situation, Microsoft n’a pas encore publié de correctif pour cette vulnérabilité. La société a classé cette faille comme étant de faible gravité (CSV 3.0) et ne prévoit pas de la corriger dans l’immédiat. Toutefois, Microsoft affirme que ses produits de sécurité, tels que Defender et Smart App Control, détectent et bloquent ces menaces, conseillant aux utilisateurs de ne pas ouvrir de fichiers provenant de sources inconnues.

Service de Veille ZATAZ – 96% de satisfaction

Les chasseurs de menaces de ZDI (Zero Day Initiative) ont identifié 11 groupes étatiques originaires de la Corée du Nord, de l’Iran, de la Russie et de la Chine. Ces groupes ont exploité une faille critique, référencée sous le nom de ZDI-CAN-25373, pour voler des données sensibles et mener des opérations d’espionnage à grande échelle. La vulnérabilité a également été utilisée par des groupes criminels notoires, comme Evil Corp, qui s’en est servi pour déployer le logiciel malveillant Raspberry Robin.

Près de la moitié des groupes étatiques ayant exploité cette faille sont originaires de Corée du Nord, y compris des acteurs bien connus comme Kimsuky et APT37. Cette situation suggère une collaboration active entre différents groupes de hackers au sein du programme cybernétique nord-coréen, impliquant un partage de techniques et d’outils.

Seulement 20 % des campagnes analysées visaient un gain financier. En revanche, environ 70 % de ces attaques avaient pour objectif le cyber espionnage et le vol d’informations sensibles. Les cibles privilégiées incluent des organisations gouvernementales, des entreprises de cryptomonnaies, des sociétés de télécommunications, des organismes de défense, ainsi que des think tanks.

La majorité des victimes identifiées — plus de 300 — sont basées aux États-Unis. D’autres cas ont été recensés au Canada, en Russie, en Corée du Sud, au Vietnam et au Brésil. Cette répartition géographique confirme que l’attaque avait une portée mondiale, visant des secteurs stratégiques et des infrastructures critiques.

Une menace persistante et en évolution

L’exploitation de la vulnérabilité ZDI-CAN-25373 illustre une tendance croissante chez les groupes de hackers étatiques à utiliser des failles zero-day pour mener des attaques sophistiquées. Ces vulnérabilités, inconnues des éditeurs de logiciels et sans correctifs disponibles, exposent les gouvernements et les organisations à des risques accrus d’espionnage et de vol de données. Avec l’escalade des tensions géopolitiques, il est probable que ces acteurs malveillants intensifient leurs efforts pour exploiter de telles failles et obtenir un avantage stratégique sur leurs adversaires. Ils ont souvent eu recours à de gros fichiers .lnk contenant une grande quantité d’espaces blancs et d’autres contenus inutiles pour déjouer la détection par les systèmes de sécurité. (Trend Micro)

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.