Depuis début avril, plusieurs versions de DAEMON Tools Lite, téléchargées depuis le bon site et signées par le bon éditeur, auraient embarqué une porte dérobée. Des traces dans le code orientent vers un acteur chinois, sans attribution formelle, pour une attaque de chaîne d’approvisionnement diffusée à grande échelle, mais exploitée au compte-gouttes.
Installer un logiciel depuis son site officiel devrait en théorie être la meilleure manière de faire. Sauf quand le site officiel sert lui-même de point de distribution à une version compromise. C’est ce que décrit Kaspersky dans un rapport publié le 5 mai, puis actualisé le 6 mai, au sujet de DAEMON Tools, l’utilitaire bien connu des utilisateurs et utilisatrices Windows pour monter des images disque. D’après les chercheurs, plusieurs installateurs de DAEMON Tools Lite ont été piégés à partir du 8 avril 2026. Les fichiers modifiés étaient distribués depuis le site légitime et signés au moyen de certificats numériques appartenant à AVB Disc Soft, l’éditeur du logiciel.
Une infection en trois étapes, du profilage au RAT
Kaspersky indique avoir identifié plusieurs versions compromises de DAEMON Tools Lite, de la 12.5.0.2421 à la 12.5.0.2434. Dans ces builds, les attaquants auraient modifié trois exécutables intégrés au logiciel, à savoir DTHelper.exe, DiscSoftBusServiceLite.exe et DTShellHlp.exe. Ces fichiers participant au fonctionnement courant de DAEMON Tools, leur exécution au lancement de Windows pouvait passer pour une activité normale du logiciel.
La portion de code malveillant intégrée à ces exécutables contactait ensuite un serveur de commande dont le nom imitait le domaine légitime de DAEMON Tools, un choix d’adresse destiné à entretenir la confusion avec l’infrastructure officielle du logiciel. En cas de réponse, la machine pouvait alors recevoir une commande à exécuter via cmd.exe et PowerShell, en vue de télécharger jusqu’à trois charges utiles distinctes, déployées selon le profil des systèmes infectés.
La première ne visait pas la prise de contrôle complète du PC, mais cherchait plutôt à établir une fiche d’identité du système touché à partir du nom de la machine, du domaine DNS, des processus actifs, des logiciels installés, de la langue de Windows et de l'adresse MAC. Autant d’éléments utiles pour distinguer un ordinateur personnel peu intéressant pour les attaquants d’un poste rattaché à une organisation plus sensible.
Sur les machines retenues, les opérateurs pouvaient ensuite pousser une porte dérobée plus complète, capable de télécharger des fichiers, d’exécuter des commandes et de lancer du code en mémoire. Cette seconde étape aurait aussi servi à déployer un troisième payload plus intrusif, QUIC RAT, apte à communiquer via plusieurs protocoles réseau et à injecter du code dans des processus Windows légitimes comme notepad.exe ou conhost.exe.
Des milliers de machines exposées, une poignée de PC vraiment ciblés
Kaspersky dit avoir observé plusieurs milliers de tentatives d’infection dans plus de 100 pays, France comprise. Un volume important, mais peu révélateur de la suite donnée aux compromissions. Selon le rapport, seules une douzaine de machines appartenant à des organisations publiques, scientifiques, industrielles ou commerciales, situées en Russie, en Biélorussie et en Thaïlande, auraient reçu le second implant décrit par les chercheurs.
QUIC RAT n’aurait, quant à lui, été observé que dans une seule structure, un établissement éducatif situé en Russie. Un écrémage qui dessine les contours d’une opération diffusée à grande échelle pour exposer un grand nombre de machines, récupérer assez d’informations pour les qualifier, puis concentrer les charges les plus intrusives sur une poignée d’environnements jugés prioritaires.
Côté attribution, les chaînes en chinois relevées dans le code de l’une des charges utiles orientent vers un acteur sinophone, sans suffire à désigner les opérateurs derrière l’attaque.
Pour les utilisateurs et utilisatrices, l’urgence consiste à vérifier si DAEMON Tools Lite a été installé ou mis à jour depuis le 8 avril 2026 dans une version comprise entre la 12.5.0.2421 et la 12.5.0.2434. La désinstallation du logiciel ne suffit pas à écarter une compromission si l’un des binaires piégés a déjà été exécuté. Il faut lancer une analyse antivirus complète du système, surveiller les exécutions inhabituelles de cmd.exe ou PowerShell et, en entreprise, contrôler les postes concernés à l’aide des indicateurs de compromission publiés dans le rapport.
- moodEssai 30 jours
- devices3 à 10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
Bitdefender continue sur la lancée des versions précédentes avec une efficacité toujours à toute épreuve. Pour détecter et bloquer tout type de menace provenant d'Internet, la suite fait un sans faute. Aucun faux positif n'est à signaler, et elle n'a pas d'impact significatif sur les performances de Windows. Le logiciel protège votre ordinateur sans faille, donc. La suite de Bitdefender est aussi disponible sur macOS, IOS et Android.
- Excellent rapport fonctionnalités/prix de l'abonnement
- Efficacité sans faille du service
- Impact léger sur les performances
- Très simple à administrer depuis la console web
- Une interface un peu trop grand public
Une attaque de chaîne d’approvisionnement consiste à compromettre un éditeur ou son processus de distribution pour livrer un logiciel modifié directement aux utilisateurs. Ici, l’installateur provenait d’une source légitime et était signé avec un certificat appartenant à l’éditeur, ce qui renforce la confiance côté Windows et côté antivirus. La signature numérique garantit surtout l’intégrité depuis la signature et l’identité du signataire, pas l’absence de code malveillant si l’environnement de build ou la clé de signature a été compromis. C’est précisément ce type d’attaque qui est difficile à détecter par des réflexes classiques comme “télécharger sur le site officiel” et “vérifier la signature”. Elle permet aussi une diffusion massive, car le logiciel est distribué via les canaux habituels.
À quoi sert le “profilage” initial d’une machine infectée, avant le déploiement d’un implant plus intrusif ?Le profilage (ou reconnaissance) sert à qualifier la valeur d’une machine avant d’investir dans des charges utiles plus bruyantes ou plus risquées. Les informations collectées (domaine DNS, processus, logiciels installés, langue, adresse MAC, etc.) aident à distinguer un PC personnel d’un poste rattaché à une organisation, voire d’un environnement intéressant (R&D, industrie, secteur public). Cette étape réduit l’exposition des attaquants en limitant le nombre de victimes “pleinement” compromises. Elle permet aussi d’adapter la suite de l’attaque à l’environnement (droits disponibles, outils de sécurité présents, configuration réseau). En pratique, c’est un filtrage qui transforme une diffusion large en ciblage fin.
Qu’est-ce qu’un RAT comme QUIC RAT, et pourquoi l’injection de code dans des processus Windows légitimes complique la détection ?Un RAT (Remote Access Trojan) est un outil de contrôle à distance qui permet typiquement d’exécuter des commandes, transférer des fichiers et piloter la machine comme un opérateur local. QUIC RAT désigne ici un implant capable de communiquer sur plusieurs protocoles réseau, dont QUIC, un transport moderne basé sur UDP souvent utilisé par des services web actuels. L’injection de code dans des processus légitimes (par exemple notepad.exe ou conhost.exe) sert à masquer l’activité malveillante derrière des exécutables attendus, ce qui brouille les alertes basées sur le nom du processus. Cette technique peut aussi contourner certaines restrictions applicatives si le processus “hôte” est autorisé à communiquer ou à s’exécuter. Résultat : la télémétrie de sécurité doit davantage s’appuyer sur le comportement (connexions, commandes, mémoire) que sur la simple liste des programmes lancés.
