Des attaquants ont compromis les installateurs du logiciel DAEMON Tools, distribuant une backdoor à des milliers d’ordinateurs depuis le 8 avril via le site officiel du produit.
Cette attaque supply-chain a provoqué des milliers de contaminations dans plus de cent pays. Les charges malveillantes de deuxième niveau n’ont touché qu’une douzaine de systèmes, ce qui suggère une opération visée sur des cibles prioritaires.
Les organisations affectées par ces étapes avancées incluent des entités du commerce de détail, de la recherche scientifique, du secteur public et de l’industrie, situées en Russie, en Biélorussie et en Thaïlande.
Détails de la compromission
Selon un rapport publié par Kaspersky, l’opération persiste actuellement. Les versions compromises de DAEMON Tools vont de la 12.5.0.2421 à la 12.5.0.2434, avec les exécutables DTHelper.exe, DiscSoftBusServiceLite.exe et DTShellHlp.exe.
DAEMON Tools sert à émuler des lecteurs virtuels pour les images de disques sous Windows. Anciennement prisé par les joueurs et utilisateurs avancés dans les années 2000, son usage se limite désormais aux environnements nécessitant une gestion de disques virtuels.
Basic info-stealer
Source: Kaspersky
L’installation des exécutables signés numériquement active un code malveillant qui installe une persistance et déclenche la backdoor au démarrage. Celle-ci transmet des données système comme le nom d’hôte, l’adresse MAC, les processus actifs, les logiciels installés et la configuration régionale, pour évaluer les victimes.
Le serveur distant peut alors ordonner le téléchargement et l’exécution de charges supplémentaires.
Étapes avancées du malware
Certains systèmes reçoivent une backdoor allégée capable d’exécuter des ordres, de récupérer des fichiers et d’injecter du code en mémoire.
Code snippet from the backdoor
Source: Kaspersky
Dans un incident précis contre un établissement éducatif russe, Kaspersky a détecté le déploiement de QUIC RAT, un malware sophistiqué gérant plusieurs protocoles de communication et capable d’injecter du code dans des processus légitimes.
Kaspersky qualifie cette attaque supply-chain de complexe, ayant échappé aux détections pendant près d’un mois. Les chaînes de caractères dans la charge initiale indiquent un opérateur parlant chinois.
Début 2026, les incidents similaires se multiplient : eScan en janvier, Notepad++ en février, CPU-Z en avril, suivis de DAEMON Tools ce mois-ci.