Attaque de la chaîne d'approvisionnement des outils DAEMON
Des chercheurs en cybersécurité ont mis au jour une attaque sophistiquée ciblant la chaîne d'approvisionnement de DAEMON Tools. Des pirates ont réussi à compromettre des installateurs Windows officiels distribués via le site web légitime de DAEMON Tools, en y intégrant du code malveillant. Grâce aux certificats de développeur authentiques présents dans les installateurs, le logiciel malveillant paraissait digne de confiance et a facilement contourné les systèmes de sécurité classiques.
Les versions compromises du programme d'installation allaient de 12.5.0.2421 à 12.5.0.2434, l'activité malveillante remontant au 8 avril 2026. Seule la version Windows du logiciel était concernée, la version Mac restant intacte. Suite à la divulgation de l'incident, l'éditeur AVB Disc Soft a publié la version 12.6.0.2445, qui corrige la faille et supprime la fonctionnalité malveillante.
Table des matières
Composants malveillants dissimulés dans des processus légitimes
Les enquêteurs ont découvert que les attaquants avaient modifié trois composants critiques de DAEMON Tools :
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
À chaque lancement de l'un de ces fichiers binaires, généralement au démarrage du système, un implant caché était activé sur la machine infectée. Cet implant communiquait avec un domaine externe, env-check.daemontools.cc, enregistré le 27 mars 2026, afin de récupérer les commandes shell exécutées via le processus cmd.exe de Windows.
Les commandes téléchargées ont déclenché le déploiement de logiciels malveillants supplémentaires, permettant aux attaquants d'étendre leur contrôle sur les systèmes compromis tout en restant dissimulés au sein d'un comportement logiciel de confiance.
Le déploiement de logiciels malveillants en plusieurs étapes suscite l’inquiétude.
La chaîne d'attaque impliquait plusieurs charges utiles secondaires conçues pour la reconnaissance, la persistance et le contrôle à distance. Parmi les fichiers déployés figuraient :
envchk.exe — un outil de reconnaissance basé sur .NET capable de collecter des informations système détaillées.
cdg.exe et cdg.tmp — composants utilisés pour déchiffrer et lancer une porte dérobée légère capable de télécharger des fichiers, d'exécuter des commandes shell et d'exécuter du shellcode directement en mémoire.
Les analystes de sécurité ont également identifié la présence d'un cheval de Troie d'accès à distance connu sous le nom de QUIC RAT. Ce logiciel malveillant prend en charge de nombreuses méthodes de communication de commande et de contrôle (C2), notamment HTTP, TCP, UDP, DNS, WSS, QUIC et HTTP/3. De plus, il peut injecter des charges utiles malveillantes dans des processus Windows légitimes tels que notepad.exe et conhost.exe, ce qui rend sa détection beaucoup plus difficile.
Des milliers de personnes exposées, mais seules certaines victimes sont ciblées.
Des chercheurs ont observé plusieurs milliers de tentatives d'infection liées aux installateurs compromis dans plus de 100 pays, dont la Russie, le Brésil, la Turquie, l'Allemagne, la France, l'Italie, l'Espagne et la Chine. Malgré l'ampleur de l'infection, seul un nombre limité de systèmes a reçu la charge utile de porte dérobée sophistiquée, ce qui indique une stratégie de ciblage très sélective.
Le logiciel malveillant de suivi a été détecté au sein d'organisations opérant dans les secteurs du commerce de détail, de la recherche scientifique, du gouvernement, de la production industrielle et de l'éducation en Russie, au Bélarus et en Thaïlande. Une infection confirmée par QUIC RAT ciblait spécifiquement un établissement d'enseignement en Russie.
Ce déploiement sélectif laisse fortement penser que la campagne visait un ciblage précis plutôt qu'une infection massive et indiscriminée. Toutefois, les chercheurs n'ont pas encore déterminé si les attaquants avaient l'intention de mener des opérations de cyberespionnage ou des attaques de grande envergure motivées par le gain financier.
Des éléments de preuve pointent vers un acteur de menace sophistiqué parlant chinois
Bien qu'aucun groupe de cybercriminels connu n'ait été officiellement associé à cette opération, l'analyse forensique des artefacts du logiciel malveillant suggère l'implication d'un adversaire sinophone. La complexité de l'intrusion, combinée à la capacité de compromettre un logiciel signé distribué via un canal officiel du fournisseur, témoigne de capacités offensives avancées et d'une planification opérationnelle à long terme.
La compromission de DAEMON Tools s'ajoute à une vague croissante d'attaques contre la chaîne d'approvisionnement logicielle observées tout au long du premier semestre 2026. Des incidents similaires ont déjà touché eScan en janvier, Notepad++ en février et CPUID en avril.
Pourquoi les attaques contre la chaîne d’approvisionnement sont-elles si dangereuses ?
Les atteintes à la chaîne d'approvisionnement demeurent particulièrement dangereuses car elles exploitent la confiance que les utilisateurs accordent aux fournisseurs de logiciels légitimes. Les applications téléchargées directement depuis les sites web officiels et signées avec des certificats numériques valides sont rarement considérées comme suspectes par les utilisateurs ou les solutions de sécurité.
Dans ce cas précis, l'activité malveillante serait restée indétectée pendant près d'un mois, soulignant à la fois la sophistication des attaquants et les limites des défenses de sécurité périmétriques traditionnelles. Les experts en sécurité insistent sur le fait que les organisations utilisant les versions affectées de DAEMON Tools doivent isoler immédiatement les systèmes impactés et mener des opérations de recherche de menaces approfondies afin d'identifier d'éventuels déplacements latéraux ou autres activités malveillantes au sein des réseaux d'entreprise.
Réponse du fournisseur et mesures d’atténuation recommandées
AVB Disc Soft a déclaré que la faille semble se limiter à l'édition Lite du logiciel et a confirmé qu'une enquête est en cours pour déterminer l'étendue complète et la cause profonde de l'incident.
Les utilisateurs ayant téléchargé ou installé DAEMON Tools Lite version 12.5.1 pendant la période concernée sont fortement invités à supprimer immédiatement le logiciel, à effectuer une analyse antivirus et de sécurité complète des terminaux à l'aide d'outils de sécurité fiables, et à réinstaller uniquement la dernière version propre obtenue directement depuis le site Web officiel de DAEMON Tools.
