Des chercheurs en sécurité ont récemment révélé que le logiciel de lecteur optique virtuel largement utilisé, DAEMON Tools, avait subi une grave attaque dans la chaîne d'approvisionnement. Son installateur officiel a été implanté avec une porte dérobée depuis début avril 2026 et distribué via des canaux formels, affectant des milliers d'appareils à travers le monde. Selon les résultats de l'enquête publiés par Kaspersky, les attaquants ont envahi le package d'installation légitime et injecté du code malveillant dans le fichier binaire officiellement signé numériquement, permettant ainsi au programme malveillant d'être diffusé déguisé en mise à jour logicielle fiable.
L'enquête montre que cette série d'attaques a commencé le 8 avril 2026, avec plusieurs versions de DAEMON Tools (12.5.0.2421 à 12.5.0.2434) "empoisonnées" et le programme d'installation falsifié était hébergé directement sur le site officiel du logiciel et signé avec un certificat numérique valide du développeur AVB Disc Soft, ce qui augmente considérablement la probabilité que les utilisateurs se méfient et se fassent tromper. Les chercheurs ont souligné que début mai, l’attaque était toujours en cours et que l’infrastructure malveillante correspondante était toujours active.
Dans cet incident, plusieurs fichiers exécutables principaux tels que DTHelper.exe, DiscSoftBusServiceLite.exe et DTShellHlp.exe ont été modifiés et une logique de porte dérobée cachée a été ajoutée. Une fois le logiciel installé, ces composants s'exécutent automatiquement au démarrage du système et établissent la communication avec les serveurs de commande et de contrôle (C2) externes. L'attaquant a également enregistré et activé un nom de domaine très similaire au nom officiel du site DAEMON Tools pour déguiser le trafic malveillant en comportement d'accès normal ; le nom de domaine n'a été enregistré que quelques jours avant le début de l'attaque, ce qui montre que l'attaque a été soigneusement préméditée et planifiée.
Du point de vue du lien d'attaque, cette opération a montré une structure par étapes évidente. Sur la plupart des appareils victimes, le système reçoit d'abord une charge utile initiale de vol d'informations qui est utilisée pour collecter diverses données environnementales, notamment l'adresse MAC, le nom d'hôte, la liste des logiciels installés, les processus en cours d'exécution, la configuration du réseau et les paramètres de langue/région du système. Ces données seront téléchargées sur un serveur contrôlé par l'attaquant et seront probablement utilisées pour profiler et évaluer la valeur du système infecté, décidant ainsi de lancer ou non des outils de niveau supérieur à l'avenir. Les chercheurs ont également trouvé des chaînes de caractères chinois dans la charge utile, suggérant que l'attaquant pourrait être un utilisateur chinois, mais il n'y a pas encore de conclusion formelle et claire en matière de traçabilité.
Bien que des milliers de tentatives d'infection aient été détectées à travers le monde, seul un petit nombre d'hôtes cibles sont réellement livrés avec le programme malveillant de deuxième étape. Ces « cibles prioritaires » sont pour la plupart affiliées à des organisations industrielles telles que le gouvernement, l’industrie manufacturière, la recherche scientifique et la vente au détail. Cette méthode de livraison limitée et de surcharge ciblée montre qu’il ne s’agit pas d’une simple attaque opportuniste, mais plutôt d’une action ciblée dans le but de collecter des renseignements ou de pénétrer stratégiquement.
Parmi les outils confirmés de deuxième étape, les chercheurs ont trouvé une porte dérobée minimaliste capable d'exécuter des commandes, de télécharger des fichiers et de charger du code malveillant directement en mémoire pour l'exécuter sur le système de la victime afin de réduire les traces d'atterrissage. Dans au moins une brèche réussie, les attaquants ont également déployé un implant avancé appelé QUIC RAT. Ce programme malveillant prend en charge plusieurs protocoles de communication tels que HTTP, TCP, DNS, QUIC, etc., et peut injecter son propre code malveillant dans des processus légitimes tels que notepad.exe, masquant ainsi davantage ses traces d'activité.
Les données télémétriques montrent que des tentatives d'infection associées ont été observées dans plus de 100 pays. Les régions comptant le plus grand nombre de systèmes concernés sont la Russie, le Brésil, la Turquie, l'Espagne, l'Allemagne, la France, l'Italie et la Chine. Environ 10 % des appareils concernés appartiennent à diverses organisations, et la plupart des autres restent uniquement dans la phase initiale de collecte de données et ne reçoivent pas de charges utiles supplémentaires de deuxième étape.
Kaspersky a déclaré que ses produits de sécurité peuvent détecter et intercepter cette attaque sous plusieurs aspects, notamment en identifiant les comportements de téléchargement suspects basés sur PowerShell, les programmes malveillants exécutés à partir de répertoires temporaires, les activités qui injectent du code dans des processus légitimes et les modèles de communication réseau externes anormaux. Les chercheurs recommandent à toute organisation ayant installé DAEMON Tools après le 8 avril 2026 de procéder à un audit complet des systèmes concernés, en se concentrant sur la vérification des activités anormales de ligne de commande PowerShell et des exécutions suspectes déclenchées à partir du répertoire temporaire. Dans le même temps, les organisations doivent donner la priorité à la mise en œuvre d’une architecture de sécurité Zero Trust, limiter les autorisations exécutables des répertoires temporaires et améliorer la résilience globale de la sécurité grâce à une stratégie de défense à plusieurs niveaux.
Cet incident de chaîne d'approvisionnement de DAEMON Tools montre une fois de plus que les attaquants améliorent constamment leurs méthodes d'attaque contre la chaîne d'approvisionnement logicielle, combinant distribution à grande échelle avec des frappes précises et utilisant des logiciels légaux et fiables comme tremplin pour pénétrer divers environnements. Dans le cadre de cette tendance, même les outils logiciels couramment utilisés et longtemps considérés comme « sécurité » doivent être considérés comme des sources potentielles de risque, et les organisations doivent adopter des stratégies de sécurité plus prudentes et proactives pour faire face aux menaces de plus en plus complexes de la chaîne d'approvisionnement.