### Installateurs compromis et charge utile malveillante Selon les chercheurs de **Kaspersky**, Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko et Anton Kargin, les installateurs trojanisés ont été distribués depuis le site Web légitime de **DAEMON Tools** et signés avec des certificats numériques appartenant aux développeurs du logiciel. Les versions 12.5.0.2421 à 12.5.0.2434 ont été identifiées comme compromises. **AVB Disc Soft**, le développeur de **DAEMON Tools**, a été informé de la violation. ### Composants falsifiés Trois composants de **DAEMON Tools** ont été falsifiés : * DTHelper.exe * DiscSoftBusServiceLite.exe * DTShellHlp.exe Lorsque ces binaires sont lancés, un implant est activé, envoyant une requête HTTP GET à un serveur externe (`env-check.daemontools[.]cc`) pour recevoir une commande shell. Ce domaine a été enregistré le 27 mars 2026. ### Livraison de charge utile multi-étapes La commande shell télécharge et exécute une série de charges utiles, notamment : * envchk.exe : un exécutable .NET pour collecter des informations système. * cdg.exe et cdg.tmp : un chargeur de shellcode décryptant et lançant une backdoor minimaliste. Cette backdoor contacte un serveur distant pour télécharger des fichiers, exécuter des commandes shell et exécuter des charges utiles de shellcode en mémoire. ### Infections ciblées **Kaspersky** a observé des milliers de tentatives d'infection dans plus de 100 pays, dont la Russie, le Brésil, la Turquie, l'Espagne, l'Allemagne, la France, l'Italie et la Chine. Cependant, la backdoor de l'étape suivante n'a été livrée qu'à une douzaine d'hôtes, indiquant une approche ciblée. Les systèmes compromis appartiennent à des organisations de vente au détail, scientifiques, gouvernementales et manufacturières en Russie, en Biélorussie et en Thaïlande. L'une des charges utiles livrées est un cheval de Troie d'accès à distance (RAT) appelé **QUIC RAT**. Un implant C++ a également été observé ciblant une institution éducative en Russie. ### Capacités avancées et attribution Le malware prend en charge divers protocoles de commande et de contrôle (C2), notamment HTTP, UDP, TCP, WSS, QUIC, DNS et HTTP/3. Il peut injecter des charges utiles dans des processus légitimes tels que `notepad.exe` et `conhost.exe`. Bien que l'activité n'ait pas été attribuée à un acteur de menace connu, des preuves suggèrent un adversaire de langue chinoise. ### Tendance croissante des attaques de la chaîne d'approvisionnement La compromission de **DAEMON Tools** est la dernière d'une série d'incidents de la chaîne d'approvisionnement logicielle en 2026, suite aux violations impliquant **eScan**, **Notepad++** et **CPUID**. « Une compromission de cette nature contourne les défenses périmétriques traditionnelles car les utilisateurs font implicitement confiance aux logiciels signés numériquement téléchargés directement auprès d'un fournisseur officiel », a déclaré Kucherin, chercheur principal en sécurité chez **Kaspersky** GReAT. Il a ajouté : « Compte tenu de la complexité élevée de la compromission, il est donc primordial pour les organisations d'isoler les machines sur lesquelles le logiciel Daemon Tools est installé, ainsi que de mener des analyses de sécurité pour prévenir toute propagation d'activités malveillantes au sein des réseaux d'entreprise. »