Des chercheurs en sécurité ont découvert un exploit zero-day actif ciblant **Adobe Reader**, utilisant des fichiers PDF spécialement conçus. L'exploit, signalé par Haifei Li de **EXPMON**, est décrit comme une attaque sophistiquée exploitant une vulnérabilité jusqu'alors inconnue. ### Découverte et Analyse L'artefact malveillant, nommé "Invoice540.pdf", a été observé pour la première fois sur **VirusTotal** le 28 novembre 2025. Un second échantillon est apparu le 23 mars 2026. Le nom de fichier suggère une composante d'ingénierie sociale, incitant les utilisateurs à ouvrir les fichiers. Lors de l'exécution, le PDF déclenche du code JavaScript obfusqué conçu pour collecter des informations sensibles et télécharger des payloads supplémentaires. ### Ciblage et Techniques Le chercheur en sécurité Gi7w0rm a noté que les documents PDF contiennent des leurres en russe, faisant référence à des événements actuels liés à l'industrie du pétrole et du gaz en Russie. Cela suggère une campagne ciblée. Selon Li, l'exploit agit comme un point d'entrée initial, capable de collecter et de fuiter divers types de données, menant potentiellement à des exploits de Remote Code Execution (RCE) et de Sandbox Escape (SBX). "L'échantillon agit comme un exploit initial avec la capacité de collecter et de fuiter divers types d'informations, potentiellement suivi par des exploits de remote code execution (RCE) et de sandbox escape (SBX)", a déclaré Li. ### Détails Techniques La vulnérabilité permet l'exécution d'API Acrobat privilégiées, même sur la dernière version d'**Adobe Reader**. L'exploit inclut également une fonctionnalité pour exfiltrer les données collectées vers un serveur distant (169.40.2[.]68:45191) et recevoir du code JavaScript supplémentaire pour exécution. Ce mécanisme pourrait permettre des attaques de fingerprinting avancées et ouvrir la voie à une exploitation ultérieure, y compris la livraison d'exploits supplémentaires pour obtenir l'exécution de code ou l'évasion de sandbox. La nature exacte de l'exploit de second niveau reste floue, car le serveur distant n'a pas répondu lors de l'analyse. Cela pourrait indiquer que l'environnement de test ne remplissait pas les critères pour la livraison de la payload. ### Appel à l'Action "Néanmoins, cette capacité zero-day/non corrigée pour la collecte d'informations à grande échelle et le potentiel d'exploitation RCE/SBX subséquente suffisent pour que la communauté de la sécurité reste en état d'alerte maximale", a déclaré Li. ### Mise à jour **Adobe** a publié des mises à jour de sécurité pour la vulnérabilité (**CVE-2026-34621**, score CVSS : 9.6). Veuillez [cliquer ici pour plus de détails](https://thehackernews.com/2026/04/adobe-patches-actively-exploited.html).