Symantec a retrouvé une trace active du logiciel espion Daxin sur un réseau taiwanais, plus de quatre ans après sa première mise au jour. Les chercheurs ont identifié à ses côtés une porte dérobée inédite, capable d'ouvrir un accès administrateur dès l'écran de connexion de Windows.

Le groupe derrière Daxin n'avait plus été repéré publiquement depuis 2022. Pour autant, il reste bien actif. Et cette découverte semble pointer vers une intrusion restée invisible pendant plusieurs années sur un site industriel jugé stratégique.
Stupig, la porte dérobée qui se fait passer pour un clavier Windows
En 2022, nous rapportions la découverte de Daxin, une porte dérobée que Symantec associait alors à un acteur lié à la Chine. L'équipe Threat Hunter de l'éditeur antivirus vient de le retrouver actif sur une machine compromise, filiale taïwanaise d'un fabricant multinational de haute technologie. Le pilote identifié (srt64.sys) correspond à celui repéré quatre ans plus tôt.
Daxin fonctionne comme un pilote installé au cœur du système Windows (le "kernel"), ce qui lui donne un accès direct au fonctionnement de la machine. Mais il est malin. Plutôt que d'ouvrir ses propres connexions vers un serveur de contrôle, il surveille le trafic entrant et détourne des connexions déjà existantes et légitimes pour faire transiter ses commandes. L'idée est bien évidemment d'échapper aux outils de surveillance réseau classiques. Il peut aussi relayer ces commandes d'une machine infectée à une autre, ce qui lui permet d'atteindre des postes sur le même réseau coupés d'internet.

Sur ce même ordinateur, les chercheurs ont découvert Stupig, une porte dérobée jusqu'ici inconnue. Elle s'enregistre comme fournisseur de disposition de clavier, un composant que Windows charge automatiquement au démarrage pour gérer les claviers (AZERTY, QWERTY, etc.). Cet enregistrement fait charger le fichier malveillant directement dans winlogon.exe, le processus qui gère l'écran de connexion, avant qu'un utilisateur ne se connecte. Si un identifiant commençant par "stupig" est saisi à cet écran, le texte qui suit ce préfixe s'exécute avec les droits SYSTEM, un niveau de privilège supérieur à celui de l'administrateur. Sans texte après le préfixe, une invite de commandes SYSTEM s'ouvre directement. Windows referme ensuite la tentative comme un échec de connexion ordinaire, sans générer d'alerte particulière au-delà d'un nom d'utilisateur inhabituel. Le logiciel installe également des points d'interception sur les fonctions Windows liées à l'authentification, pour récupérer des identifiants au passage. Les enquêteurs ont repéré la référence à un fichier complémentaire, msyun.dll, jamais retrouvé sur la machine.
Le premier point d'entrée des attaquants serait un portail d'authentification unique Digiwin resté sur des installations Java (JDK 1.5 et 1.6) datant de 2009 à 2011, deux versions hors support depuis longtemps. La machine n'a transmis aucune donnée de télémétrie avant le 12 mai 2026. Impossible, donc, de savoir depuis quand les deux outils y étaient présents. Leurs dates de compilation indiquent cependant janvier et février 2013, ce qui laisse penser qu'ils sont restés silencieux pendant plus d'une décennie.