DAEMON Tools : backdoor signé, attaque depuis le 8 avril

Ce qui s'est passé

Le 5 mai 2026, Kaspersky a publié sur son blog officiel et sur Securelist une analyse détaillée d'une attaque sur la chaîne d'approvisionnement visant le logiciel DAEMON Tools, l'utilitaire de montage d'images disque utilisé depuis plus de vingt ans par des dizaines de millions d'utilisateurs Windows. Selon les chercheurs de l'éditeur russe, le site officiel du logiciel distribuait depuis le 8 avril 2026 des installeurs trojanisés, signés avec un certificat numérique valide appartenant à AVB Disc Soft, l'éditeur historique du produit.

Les versions identifiées comme compromises s'étalent de 12.5.0.2421 à 12.5.0.2434 ; toutes contiennent une charge utile d'installation supplémentaire qui télécharge et exécute discrètement un implant de second étage. Le mécanisme s'appuie sur un loader injecté à l'étape MSI, capable de récupérer une bibliothèque DLL chiffrée depuis une infrastructure de commande et contrôle, puis de l'exécuter en mémoire pour échapper aux contrôles antivirus à la signature.

Selon Help Net Security et SecurityWeek, l'implant principal observé sur les machines des cibles à forte valeur correspond à un backdoor sophistiqué, comparable techniquement à des familles précédemment observées dans des opérations sinophones. Le code repose sur du chiffrement RC4 avec une clé dérivée de la machine, une persistance via tâches planifiées Windows, et un canal C2 utilisant HTTPS sur des domaines compromis qui imitent des CDN légitimes. Le module supporte le téléchargement et l'exécution de plug-ins additionnels, le vol de credentials, et l'exfiltration de fichiers chiffrés en flux UTF-8 encodé base64.

Sur le volume, Kaspersky annonce avoir détecté plusieurs milliers de tentatives d'installation de la charge malveillante depuis avril. Les victimes sont réparties dans une centaine de pays, avec une concentration en Russie, au Brésil, en Turquie, en Espagne, en Allemagne, en France, en Italie et en Chine. Environ 90 % des victimes sont des particuliers, mais 10 % des installations concernent des postes intégrés à un environnement d'entreprise.

Le nombre d'organisations ayant effectivement reçu le backdoor de second étage reste limité : Kaspersky parle d'une douzaine d'entités, dont des administrations gouvernementales, des laboratoires scientifiques, des entreprises industrielles et des distributeurs en Russie, Biélorussie et Thaïlande. Les autres machines infectées n'ont reçu qu'un implant initial, ce qui suggère que les attaquants ont sélectionné manuellement les cibles à privilégier sur la base d'une première reconnaissance.

Selon TechCrunch, qui a relayé l'analyse de Kaspersky, l'attribution penche vers un acteur sinophone non encore catalogué publiquement, sur la base de plusieurs artefacts : commentaires en chinois simplifié dans le code intermédiaire, horaires d'activité du C2 alignés sur le fuseau UTC+8 et chevauchements partiels d'infrastructure avec des opérations précédemment liées à des groupes de cyber-espionnage chinois. Aucune attribution formelle à un acteur connu (APT41, Mustang Panda, Earth Krahang) n'a toutefois été établie.

Côté éditeur, AVB Disc Soft a publié la version 12.6.0.2445, qui ne contient plus la charge malveillante, et a invalidé le certificat utilisé pour signer les builds infectés. La société indique avoir détecté une intrusion sur sa chaîne de build et travaille avec Kaspersky et un cabinet de réponse à incident pour comprendre comment les attaquants ont pu modifier les binaires sans déclencher d'alerte sur leurs propres pipelines de signature. Le site officiel a été nettoyé et l'ensemble des versions vulnérables retirées du miroir de téléchargement.

Pour les utilisateurs et administrateurs ayant déployé DAEMON Tools entre avril et mai, la recommandation immédiate est de procéder à une désinstallation complète, de vérifier la présence d'indicateurs publiés par Kaspersky et de réinstaller la version 12.6.0.2445 ou supérieure. La signature numérique du fichier MSI doit être contre-vérifiée avec un thumbprint nouvellement émis, distinct du certificat compromis. Les équipes IT sont également invitées à passer en revue leurs journaux EDR à la recherche de tâches planifiées suspectes et de connexions sortantes vers les domaines listés dans l'IOC pack publié par Securelist.

Pourquoi c'est important

Cette campagne illustre une nouvelle fois la vulnérabilité structurelle des chaînes de distribution de logiciels grand public. DAEMON Tools n'est pas un éditeur de premier rang du marché professionnel, mais son installation reste massive sur les postes individuels et de nombreux laboratoires de recherche, où il est utilisé pour monter des images ISO. Le fait que le site officiel ait servi de vecteur d'infection pendant près d'un mois, avec des binaires portant une signature numérique valide, démontre que les contrôles habituels — vérification de l'émetteur, antivirus à la signature, listes de réputation — sont inopérants face à une compromission en amont du pipeline de build.

L'affaire fait écho à la récente compromission DigiCert, où des certificats EV ont été délivrés à des acteurs malveillants ayant utilisé un fichier .scr piégé, ainsi qu'à l'incident DAEMON Tools précédent en 2018 dans lequel une partie du miroir de téléchargement avait déjà été exploitée. Pour les RSSI, le constat se renforce : la simple présence d'une signature Authenticode ne constitue plus une garantie d'intégrité, et la mise en place d'attestations supply chain (SLSA, in-toto, signatures Sigstore) devient un sujet opérationnel pour tout produit déployé en environnement professionnel.

L'angle géopolitique ajoute une dimension supplémentaire. Le ciblage manuel de gouvernements, organismes scientifiques et industriels en Russie, Biélorussie et Thaïlande indique une opération de cyber-espionnage classique conduite via une attaque de masse opportuniste. Cette méthode, où l'attaquant compromet un logiciel grand public puis filtre les cibles à fort intérêt, est devenue une signature des opérations sinophones, comme on l'avait vu lors des compromissions des routeurs ASUS en 2019 ou de l'opération CCleaner. La France n'est pas mentionnée parmi les cibles d'espionnage activement exploitées, mais figure dans la liste des pays à fort taux d'infection initiale, ce qui signifie que des entreprises françaises ont potentiellement reçu le loader sans être ciblées au second étage.

Pour les directions sécurité, la priorité est désormais double. À court terme, identifier rapidement les machines infectées et procéder à leur remédiation, en utilisant les indicateurs publiés par Kaspersky et en poussant des règles EDR adaptées. À moyen terme, durcir la politique d'installation des logiciels sur les postes Windows : restriction par AppLocker ou Windows Defender Application Control, audit trimestriel des éditeurs autorisés, et exigence contractuelle d'attestations de chaîne de build pour les fournisseurs critiques. Pour les organismes soumis à NIS2, ce type d'incident illustre concrètement les exigences de gestion des risques liés aux fournisseurs imposées par l'article 21 de la directive.

Ce qu'il faut retenir

• DAEMON Tools 12.5.0.2421 à 12.5.0.2434 sont compromis depuis le 8 avril 2026 ; passer immédiatement en 12.6.0.2445.
• Une signature numérique Authenticode valide ne suffit plus : la chaîne de build de l'éditeur a elle-même été compromise.
• Une douzaine d'organisations en Russie, Biélorussie et Thaïlande ciblées au second étage par un acteur sinophone non encore catalogué publiquement.