Un éditeur de PDF somme toute classique s'est transformé en logiciel espion des semaines après son lancement. Problème : il a été massivement distribué au travers d'une campagne de Google Ads. Selon les experts, des milliers de personnes en auraient fait les frais
Cet été, entre juin et aout 2025 le logiciel AppSuite PDF Editor s'est immiscé sur des milliers de PC avant de se transformer en spyware pour collecter les données des victimes.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un cheval de Troie discret pendant deux mois
Selon les experts du cabinet de sécurité Truesec, la campagne débute le 26 juin 2025 avec la mise en ligne de multiples sites offrant le téléchargement “gratuit” d’AppSuite PDF Editor. Les hackers misent sur la popularité des éditeurs de PDF, d’autant que la première version ne présente aucune anomalie : l’application est fonctionnelle, passe les contrôles antivirus classiques et gagne ainsi la confiance des utilisateurs.
Cet éditeur est largement promu grâce à des publicités Google Ads. Le logiciel gagne en visibilité et démultiplie les téléchargements. L’installation du logiciel initie plusieurs requêtes HTTP pour signaler l’avancement du processus à des serveurs contrôlés par l’attaquant. Une fois terminée, des clés sont ajoutées au registre Windows afin d’assurer la persistance du programme, c’est-à-dire son lancement automatique à chaque démarrage de l’ordinateur.
En passant au crible le code du logiciel, les analystes observent une méthode d'obfuscation poussée. Ony trouve ainsi des arguments “cm” transmis à l’exécutable pour modifier son comportement (mise à jour, sauvegarde, vérification, etc.), avec le suivi d’un fichier JavaScript distant qui orchestre les éventuelles modifications du logiciel.
Une porte ouverte sur vos données personnelles
Le virage s’opère le 21 août 2025, lorsque la commande de mise à jour “–fullupdate” introduit le malware TamperedChef dans AppSuite PDF Editor. L’application inoffensive se transforme alors en “infostealer” (ou spyware, logiciel espion). Il devient un outil dédié au vol de données sensibles stockées localement : identifiants, cookies, et informations confidentielles présentes dans les navigateurs installés sur les machines des victimes. Si le nombre exact d'installations n'est pas encore connu, pendant ces 56 jours de silence, la campagne a été largement diffusée au travers d'une cinquantaine de noms de domaine.
TamperedChef procède d’abord à l’analyse des logiciels de sécurité installés sur la machine, puis arrête certains navigateurs afin d’accéder à des données verrouillées si le logiciel est actif. Pour s’assurer de fonctionner à chaque redémarrage, il inscrit ses propres éléments dans le registre Windows, là encore, pour assurer sa persistance.
Les chercheurs relèvent également la présence de programmes associés comme OneStart et Epibrowser, deux navigateurs suspects considérés comme PUP (Potentially Unwanted Programs). Ces derniers exécutent des commandes en arrière-plan comme le téléchargement et l'installation de fichiers suspects ainsi que d’autres logiciels potentiellement malveillants. D'ailleurs, ils communiquent avec le même serveur de contrôle et de commande que TemperedChef.
On imagine que les éditeurs de solutions antivirus ont pris connaissance de ces recherches et ont mis à jour leur base de données virales pour bloquer d'emblée le téléchargement de ce cheval de Troie.
