Une attaque de la chaîne d’approvisionnement a touché le logiciel d’émulation de disque Daemon Tools. Selon un rapport de Kaspersky, des versions compromises du programme d’installation pour Windows ont été distribuées depuis le site officiel entre le 8 avril et début mai 2026. Les fichiers malveillants étaient signés avec des certificats numériques légitimes du développeur AVB Disc Soft.
Comment l’attaque a-t-elle été orchestrée ?
L’attaque a consisté à piéger plusieurs binaires de Daemon Tools (DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe) dans les versions 12.5.0.2421 à 12.5.0.2434.
Au démarrage du système d’exploitation, ces fichiers activaient un implant qui contactait un serveur de commande et de contrôle. Utilisant un nom de domaine conçu pour ressembler au domaine officiel, ce serveur pouvait envoyer des instructions afin de télécharger des charges utiles supplémentaires.
La télémétrie de Kaspersky a révélé des milliers de tentatives d’infection dans plus de 100 pays, notamment en Russie, au Brésil, en Turquie et en France. L’attaque était toutefois hautement ciblée.
Si un premier malware collectait des informations sur de nombreuses machines, des charges utiles plus complexes n’ont été rapatriées que sur une douzaine de systèmes appartenant à des organisations gouvernementales, scientifiques et industrielles.
Le déploiement d’une backdoor
Sur les cibles jugées intéressantes, les attaquants déployaient une backdoor minimaliste capable de télécharger des fichiers et d’exécuter du code en mémoire. Dans certains cas, les commandes contenaient des fautes de frappe, suggérant une intervention manuelle.
Les chercheurs ont également identifié un malware plus avancé, baptisé QUIC RAT, déployé contre une seule institution en Russie. Ce cheval de Troie d’accès à distance pouvait utiliser de multiples protocoles de communication et injecter du code malveillant dans des processus comme notepad.exe.
Des artefacts en langue chinoise ont été trouvés dans le code, mais aucune attribution formelle n’a été faite pour les attaquants.
Une série en cours…
Cette attaque s’inscrit dans une tendance préoccupante, après les cas de Notepad++, CPU-Z et eScan.
» Une compromission de cette nature contourne les défenses périmétriques traditionnelles car les utilisateurs font implicitement confiance à un logiciel signé numériquement et téléchargé directement depuis le site officiel d’un fournisseur « , déclare Georgy Kucherin, chercheur en sécurité chez Kaspersky GReAT.
Le fait que l’attaque soit restée non détectée pendant près d’un mois témoigne des capacités offensives avancées. Suite à la divulgation, le développeur AVB Disc Soft a réagi en publiant la version 12.6.0.2445 qui corrige la faille.