DAEMON Tools : installeurs piégés sur le site officiel depuis avril

Les faits

L'éditeur Disc Soft, derrière le célèbre logiciel d'émulation de lecteurs virtuels DAEMON Tools, a vu son canal de distribution officiel compromis pendant près d'un mois sans s'en apercevoir. Selon les chercheurs de Kaspersky qui ont publié leurs conclusions sur Securelist le 5 mai 2026, les installeurs Windows téléchargés directement depuis le site officiel entre le 8 avril et le 4 mai contenaient un backdoor sophistiqué dissimulé dans plusieurs binaires légitimes du produit.

Le périmètre exact concerne les versions 12.5.0.2421 à 12.5.0.2434 de DAEMON Tools Lite, soit l'ensemble des builds publiées sur la fenêtre. Les attaquants ont modifié trois composants centraux du logiciel : DTHelper.exe, DiscSoftBusServiceLite.exe et DTShellHlp.exe. Particulièrement préoccupant : les exécutables trojanisés portaient une signature numérique valide, ce qui leur permettait de passer sans alerte les contrôles SmartScreen, AppLocker en mode publisher et la majorité des EDR configurés sur la confiance des certificats vendor.

Le mécanisme d'infection est typique d'un loader moderne : au premier lancement, le composant piégé envoie une requête HTTP GET vers le domaine env-check.daemontools[.]cc, enregistré le 27 mars 2026 — soit douze jours avant la publication des installeurs vérolés, ce qui démontre une préparation soignée. Le serveur répond avec une commande shell exécutée via cmd.exe, qui télécharge ensuite une chaîne de payloads exécutables. Le backdoor final assure la persistance, ouvre un canal C2 et procède à la collecte d'informations système avant d'attendre des instructions.

Selon la télémétrie Kaspersky, plusieurs milliers de tentatives d'infection ont été observées depuis début avril, avec des victimes dans plus de 100 pays. La France figure parmi les pays touchés, en partie parce que DAEMON Tools reste largement utilisé dans les services informatiques pour le montage d'images ISO, dans l'éducation pour la diffusion de supports pédagogiques, et chez les particuliers. La plupart des téléchargements se sont faits via le site officiel, mais certains se sont également produits via des miroirs et agrégateurs comme Softpedia ou MajorGeeks qui rediffusaient les binaires compromis.

Les indicateurs techniques relevés par Kaspersky pointent vers un acteur sinophone : commentaires en chinois simplifié dans les ressources de débogage non strippées, fuseaux horaires de compilation alignés sur UTC+8, conventions de nommage et infrastructure C2 cohérentes avec des opérations précédemment attribuées à des groupes d'espionnage chinois. Aucune attribution formelle n'a toutefois été publiée à ce stade. Disc Soft a publié la version 12.6 le 5 mai 2026, qui ne contient plus les fichiers suspects, mais l'éditeur n'a communiqué publiquement qu'à minima sur la chronologie de la compromission.

Cette attaque s'inscrit dans une série noire pour 2026 : eScan en janvier, Notepad++ en février, CPUID en avril, et désormais DAEMON Tools. Mandiant relève dans son rapport M-Trends 2026 que les compromissions de chaîne d'approvisionnement logicielle ont augmenté de 47 pour cent en un an, avec une cible privilégiée : les éditeurs de taille moyenne, dont les processus de signature de code sont moins durcis que ceux des grands éditeurs comme Microsoft ou Adobe, mais dont la base installée reste suffisamment large pour servir de relais d'infection à grande échelle.

Le mode opératoire reste à éclaircir : compromission directe du build pipeline, vol de la clé de signature, ou intrusion via un fournisseur tiers — Disc Soft n'a pas communiqué sur ce point. Le fait que le certificat ait été utilisé pour signer du code malveillant pendant près d'un mois sans rotation suggère que la clé privée a été exfiltrée et que l'attaquant a opéré avec discrétion, recompilant et resignant les binaires en parallèle des releases légitimes pour ne pas éveiller de soupçons côté éditeur.

Impact et exposition

Toute machine Windows ayant installé ou mis à jour DAEMON Tools Lite entre le 8 avril et le 4 mai 2026 doit être considérée comme potentiellement compromise. La présence du domaine env-check.daemontools[.]cc dans les logs DNS ou proxy constitue un indicateur de compromission fort. Les organisations qui autorisent le shadow IT et où les utilisateurs installent des outils de manipulation d'images disque sans validation centrale sont particulièrement exposées. La signature valide des binaires neutralise une partie des défenses standards : seul un EDR avec une analyse comportementale à l'exécution est capable de détecter les requêtes C2 sortantes ou les payloads ultérieurs.

Recommandations

• Désinstaller immédiatement toute version de DAEMON Tools 12.5.0.2421 à 12.5.0.2434, puis réinstaller la version 12.6 ou supérieure depuis le site officiel en vérifiant la nouvelle empreinte SHA-256.
• Ajouter le domaine env-check.daemontools[.]cc à la liste de blocage DNS et auditer les logs sur les 30 derniers jours pour identifier les machines ayant interrogé ce domaine.
• Lancer un scan EDR complet sur tout poste ayant exécuté DTHelper.exe, DiscSoftBusServiceLite.exe ou DTShellHlp.exe sur la fenêtre concernée — y compris recherche de tâches planifiées et services suspects.
• Considérer la rotation des credentials locaux et du compte AD sur les machines compromises ; le backdoor permet l'exfiltration silencieuse depuis plus de 30 jours.
• Renforcer la politique de signature : ne plus accorder une confiance implicite aux certificats vendor, mais valider l'empreinte spécifique des binaires autorisés.