ANAVEM
EN
Corrupted ZIP files with malicious code emerging on computer screen
MoyenLogiciel malveillant

Zombie ZIP : comment des archives malformées permettent aux malwares d’échapper aux antivirus et EDR

Le 10 mars 2026, des chercheurs en sécurité ont divulgué la technique Zombie ZIP (CERT/CC VU#976247) : des archives ZIP malformées contournant la détection antivirus et EDR, exploitées activement par le malware Gootloader. Aucun correctif universel disponible — mise à jour critique requise.

Emanuel DE ALMEIDA 10 mars 2026, 21:05 5 min de lecture 1 vues 0 Commentaires

Dernière mise à jour 11 mars 2026, 05:24

Points Clés

  • Menace : Technique d'évasion ZIP malformé baptisée "Zombie ZIP", divulguée le 10 mars 2026
  • Vulnérabilité : Documentée par le CERT/CC sous l'avis VU#976247 — faux négatifs dans les scanners
  • Exploitation active : Gootloader (janvier 2026), NanoCore RAT — campagnes en cours
  • Mécanisme : Manipulation des métadonnées ZIP et concaténation de 500–1000 archives
  • Impact : Contourne antivirus et EDR, aucun correctif universel disponible
  • Correctif : Aucun patch universel — défense par analyse comportementale et CDR

Qu’est-ce que la technique Zombie ZIP ?

Des chercheurs en sécurité ont divulgué la technique Zombie ZIP le 10 mars 2026. Il s’agit d’une méthode de livraison de malwares qui exploite des faiblesses fondamentales dans la façon dont les moteurs antivirus et les plateformes EDR traitent les archives ZIP. La technique crée des archives ZIP spécialement malformées dont la structure interne empêche les scanners de décompresser et d’analyser la charge utile réelle, produisant un faux négatif et permettant au contenu malveillant de passer inapercu.

La classe de vulnérabilité sur laquelle repose Zombie ZIP a été formellement documentée par le CERT/CC sous l’avis VU#976247, qui confirme que des en-têtes ZIP malformés peuvent amener les logiciels antivirus et EDR à produire des faux négatifs. L’avis précise que malgré la présence d’en-têtes malformés, certains logiciels d’extraction peuvent toujours décompresser l’archive, permettant aux charges utiles de s’exécuter lors de la décompression sur le système victime.

Comment fonctionne la technique : manipulation des métadonnées ZIP

Le format ZIP repose sur des champs de métadonnées internes — notamment la méthode de compression, les indicateurs et les informations de version — que les moteurs antivirus utilisent pour déterminer comment prétraiter et décompresser une archive avant d’analyser son contenu. Zombie ZIP et les techniques associées manipulent ces champs de manière à amener les outils de sécurité à ignorer complètement la décompression ou à la réaliser incorrectement, laissant la charge utile réelle inexaminée.

En pratique, les attaquants peuvent modifier le champ de méthode de compression de sorte que l’antivirus échoue à décompresser le fichier. Un chargeur personnalisé intégré dans la chaîne d’attaque ignore alors le champ de méthode déclaré et décompresse directement les données intégrées, récupérant et exécutant la charge utile malveillante sur la machine victime. Le fichier est effectivement invisible pour le scanner mais entièrement fonctionnel.

Une variante documentée consiste à concaténer 500 à 1 000 archives ZIP en un seul fichier. Comme de nombreux outils de sécurité n’analysent que le premier répertoire d’une archive concaténée, les malwares dissimulés dans les couches suivantes restent indétectés. Cette technique spécifique a été observée dans des campagnes Gootloader actives en janvier 2026, où des ZIP malformés concaténés contenant des charges utiles JavaScript ont contourna la plupart des outils de sécurité et n’étaient décompressables que par l’archiveur par défaut de Windows.

Déjà exploité dans la nature : Gootloader et NanoCore RAT

Zombie ZIP n’est pas une technique de recherche purement théorique. Les archives ZIP malformées ont été activement exploitées dans plusieurs campagnes d’attaque documentées. En janvier 2026, le malware Gootloader a déployé des archives ZIP malformées à hachage unique, chacune conçue spécifiquement pour chaque victime afin de déjouer la détection basée sur les hachages, pour livrer des charges utiles JavaScript via l’empoisonnement SEO et la publicité malveillante ciblant les utilisateurs cherchant des modèles de documents juridiques. Une fois exécuté, le JavaScript établissait une persistance et lançait des chaînes d’exécution PowerShell liées aux opérations du ransomware Vanilla Tempest.

Des campagnes antérieures ont utilisé des ZIP spécialement conçus pour contourner les passerelles de messagerie sécurisées et livrer des charges utiles dont le NanoCore RAT. La technique exploite l’incohérence dans la manière dont différents utilitaires d’archivage (7-Zip, WinRAR et l’Explorateur de fichiers Windows) gèrent les archives malformées, créant des angles morts que les attaquants peuvent exploiter de manière fiable.

Pourquoi les antivirus et les outils EDR peinent à détecter cela

La plupart des plateformes antivirus et EDR reposent sur la détection basée sur les signatures statiques et l’analyse des métadonnées de fichiers. Lorsque les métadonnées d’une archive sont délibérément corrompues ou manipulées, le moteur d’analyse peut classer le fichier comme illisible ou ignorer complètement l’inspection du contenu compressé. Beaucoup d’outils de sécurité manquent également de capacités de décompression récursive, ce qui signifie qu’ils n’analysent pas chaque couche d’un ZIP concaténé, un écart que les acteurs de la menace exploitent systématiquement.

Les organisations qui s’appuient uniquement sur la détection basée sur les signatures et le filtrage des e-mails au périmètre sont les plus exposées. La technique n’exploite pas une vulnérabilité logicielle spécifique dans un seul produit, mais une limitation de conception qui affecte la façon dont la plupart des outils de sécurité gèrent les fichiers compressés malformés.

Aucun correctif disponible — la défense dépend de la stratégie de détection

Aucun correctif universel n’existe pour cette classe de vulnérabilité car elle découle de la manière dont les outils de compression et les moteurs de sécurité gèrent les structures de fichiers malformées, et non d’une faille de code spécifique. Le CERT/CC a noté que de nombreux produits antivirus signaleront toujours les archives malformées comme corrompues, mais ne détecteront pas la charge utile malveillante réelle qu’elles contiennent.

Les équipes sécurité peuvent cependant adopter les mesures suivantes :

  • Déployer des outils d’analyse comportementale qui examinent les schémas d’exécution des fichiers plutôt que de s’appuyer uniquement sur les signatures statiques.
  • Adopter des solutions de sécurité dotant d’une décompression récursive capables d’analyser les couches d’archives imbriquées et concaténées.
  • Surveiller les structures ZIP inhabituelles au niveau de la passerelle e-mail et de l’endpoint, y compris les fichiers signalés comme corrompus mais toujours exécutables.
  • Appliquer la technologie de désarmement et reconstruction de contenu (CDR) pour supprimer et reconstruire les archives avant leur livraison aux endpoints.
  • Utiliser des environnements d’exécution sand-boxés pour faire détoner les archives suspectes et observer le comportement à l’exécution avant de les laisser atteindre les utilisateurs finaux.

Les archives ZIP malformées de Gootloader possèdent des signatures structurelles identifiables que les défenseurs peuvent utiliser pour construire des règles de détection, comme documenté par les équipes de threat intelligence d’Expel. Les organisations disposant de programmes de détection matures peuvent créer des détections comportementales SIEM et EDR basées sur la façon dont Windows traite ces archives même lorsque les outils d’analyse échouent.

Questions Fréquentes

Quelle est la technique Zombie ZIP ?
Une méthode d'évasion de malware qui utilise des fichiers ZIP spécialement conçus pour cacher des charges utiles malveillantes aux systèmes de détection antivirus et EDR.
Quels outils de sécurité sont affectés par Zombie ZIP ?
Logiciels antivirus et produits de détection et de réponse aux points de terminaison (EDR) qui reposent sur l'analyse basée sur les signatures des fichiers compressés.
Comment les organisations peuvent-elles se protéger contre les attaques Zombie ZIP ?
Implémentez des outils d'analyse comportementale qui examinent les schémas d'exécution des fichiers plutôt que de se fier uniquement aux méthodes de détection basées sur des signatures statiques.
#zombie-zip#evasion-technique#malware-delivery

À propos de l'auteur

Emanuel DE ALMEIDA

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...

Tutoriels Associes

Approfondissez ce sujet avec nos guides pas a pas

IT administrator configuring USB blocking policies in Microsoft Intune admin center
Intermediaire
Cybersecurity

Comment bloquer les lecteurs USB à l'aide des politiques de réduction de la surface d'attaque de Microsoft Intune

Configurez les stratégies de réduction de la surface d'attaque de Microsoft Intune pour empêcher l'accès aux lecteurs USB sur les appareils Windows 10/11, protégeant contre les violations de données et les menaces de logiciels malveillants grâce aux restrictions de stockage amovible.

10 etapes
IT administrator configuring Windows LAPS with Microsoft Intune on multiple monitors
Intermediaire
Cybersecurity

Comment configurer Windows LAPS avec Microsoft Intune pour une sécurité renforcée

Configurer la solution de mot de passe administrateur local Windows (LAPS) avec Microsoft Intune pour gérer et sécuriser automatiquement les mots de passe administrateur local sur les appareils Windows de votre organisation.

6 etapes
IT administrator managing Windows 11 devices through Microsoft Intune admin center
Intermediaire
Cloud Computing

Comment supprimer l'icône météo de la barre des tâches de Windows 11 à l'aide de Microsoft Intune

Créer et déployer une stratégie de configuration Intune pour désactiver le widget météo des barres des tâches Windows 11 sur les appareils de l'entreprise. Processus complet de la création de la stratégie au suivi du déploiement.

8 etapes
Tous les Tutoriels

Intelligence Liée

BeatBanker Android : fausse appli Starlink sur Google Play vole vos identifiants bancaires
Eleve
Logiciel malveillant

BeatBanker Android : fausse appli Starlink sur Google Play vole vos identifiants bancaires

10 mars, 22:272 min
Cybersecurity threat visualization showing compromised network infrastructure with warning indicators
Eleve
Logiciel malveillant

BlackSanta EDR Killer : les hackers russes désactivent les outils de sécurité des entreprises via les RH

10 mars, 23:572 min
Cybersecurity analysts monitoring Lazarus Group ransomware campaign on multiple screens
Eleve
Cyberattaques

Lazarus Group : la Corée du Nord déploie Medusa ransomware et backdoors dans ses cyberattaques mondiales

24 févr., 22:182 min
Computer screen showing AI development code with security warnings displayed
Critique
Vulnérabilités

OpenClaw AI : patch d'urgence corrige une faille critique exposant les systèmes d'agents IA

2 mars, 23:342 min