Depuis décembre 2025, des pirates exploitent activement une faille zero-day dans l’application Adobe Reader. La simple ouverture d’un document PDF piégé peut mener à un vol de données sur la machine des victimes. Voici ce que l’on sait sur cette vulnérabilité non patchée à ce jour.

Adobe : un exploit basé sur le fingerprinting

Les détails de cette campagne malveillante ont été révélés cette semaine par Haifei Li, un chercheur en sécurité. Selon ses premières analyses, les attaquants utilisent un exploit PDF pour tirer profit d’une faille de sécurité dans Adobe Reader, l’un des lecteurs PDF les plus utilisés au monde.

“Voilà donc ce sur quoi je travaillais ces derniers temps… Une faille d’exploitation vraiment intéressante (et sophistiquée) d’Adobe Reader, de type « fingerprinting », impliquant une vulnérabilité zero-day et permettant de déclencher d’autres exploits, peut-être de type RCE ou SBX !”, peut-on lire sur le compte X du chercheur.

Cette campagne serait active depuis au moins quatre mois, ce qui nous ramène en décembre 2025. Elle serait exploitée par les cybercriminels pour voler des données sur les machines des victimes. L’exploitation serait basée sur le détournement de deux API Acrobat privilégiées via le moteur JavaScript, à savoir :

Même s’il est question du vol de données, le chercheur évoque la possibilité de déclencher d’autres exploits, en particulier via une exécution de code à distance (RCE). Surtout, cette vulnérabilité est de type zero-day : elle est déjà exploitée, mais non patchée, tout en étant valide sur la version la plus récente d’Adobe Reader.

“Il a été confirmé que cette faille de type « fingerprinting » exploite une vulnérabilité de type « zero-day » non corrigée qui affecte la dernière version d’Adobe Reader sans nécessiter aucune interaction de la part de l’utilisateur, si ce n’est l’ouverture d’un fichier PDF.”, précise Haifei Li.

Des leurres russes ?

D’où viennent exactement ces attaques ? Un analyste surnommé Gi7w0rm s’est penché sur cet exploit et il a probablement un début de réponse… Ses recherches ont permis de découvrir que les documents PDF piégés s’appuient sur des leurres rédigés en langue russe. Il affirme même que ces documents piégés font référence à des événements récents liés à l’industrie pétrolière et gazière en Russie. Cela veut dire aussi que le secteur de l’énergie pourrait être une cible privilégiée par les cybercriminels à l’origine de cette campagne.

Méfiance : prévenez vos utilisateurs. L’ouverture d’un PDF suffit à déclencher cet exploit, c’est donc une action d’apparence anodine.

Pour le moment, il n’y a pas de correctif de sécurité. La mise à jour la plus récente pour cette application Adobe date du 2 avril 2026. Espérons qu’Adobe soit plus réactif qu’avec la faille PolyShell découverte dans Magento et Adobe Commerce….

Source