MtoM Mag - Le journal de l'MtoM.

L’équipe mondiale de recherche et d’analyse de Kaspersky (GReAT) a découvert une attaque en cours de la chaîne d’approvisionnement ciblant le site officiel de Daemon Tools, un logiciel d’émulation de lecteur virtuel largement utilisé. Le programme d’installation compromis installe un malware en même temps que l’application légitime, permettant ainsi aux cybercriminels d’exécuter des commandes arbitraires et de contrôler à distance les appareils infectés.

Lors d’une récente étude de télémétrie, les chercheurs ont identifié que des cyberattaquants distribuent activement le logiciel modifié directement via le domaine principal du fournisseur depuis le 8 avril 2026, dissimulant avec succès le malware grâce à un certificat numérique de développeur valide. L’injection malveillante affecte la version 12.5.0.2421 de Daemon Tools jusqu’à la version actuelle. Kaspersky a informé AVB Disc Soft, le développeur de Daemon Tools, afin que des mesures correctives soient prises.

Parce que les logiciels d’émulation de disque nécessitent un accès système de bas niveau pour fonctionner, les utilisateurs accordent systématiquement des privilèges administratifs élevés à l’application lors de l’installation. Ce mécanisme permet au malware intégré de s’ancrer profondément dans le système d’exploitation hôte, compromettant gravement l’intégrité de l’appareil. Plus précisément, les attaquants ont altéré les binaires légitimes de l’application pour exécuter du code malveillant au démarrage du processus et ont exploité un service Windows légitime pour maintenir leur persistance sur l’hôte.

La télémétrie de Kaspersky indique une distribution mondiale et généralisée des mises à jour compromises dans plus de 100 pays et territoires. La majorité des victimes se situent en Russie, au Brésil, en Turquie, en Espagne, en Allemagne, en France, en Italie et en Chine.

L’analyse montre que 10 % des systèmes touchés appartiennent à des entreprises et des organisations. Si Daemon Tools est massivement utilisé par le grand public, sa présence en milieu professionnel expose les réseaux d’entreprise à de graves risques en cascade.

Sur un petit sous-ensemble d’un peu plus de dix machines appartenant à des organisations des secteurs de la vente au détail, de la science, du gouvernement et de l’industrie, le GReAT de Kaspersky a observé des attaquants déployant manuellement des charges utiles supplémentaires, notamment un injecteur de "shellcode" et des chevaux de Troie d’accès à distance (RAT) jusqu’alors inconnus. Le profil industriel restreint de ces victimes, combiné à des fautes de frappe et des incohérences dans les commandes exécutées, indique que l’activité de suivi est menée manuellement contre des cibles spécifiquement choisies. Bien que les chercheurs aient identifié des artefacts en langue chinoise dans les implants malveillants, la campagne n’est actuellement attribuée à aucun acteur menaçant connu.

« Une compromission de cette nature contourne les défenses périmétriques traditionnelles car les utilisateurs font implicitement confiance à un logiciel signé numériquement et téléchargé directement depuis le site officiel d’un fournisseur », déclare Georgy Kucherin, chercheur principal en sécurité chez Kaspersky GReAT. « Pour cette raison, l’attaque de Daemon Tools est passée inaperçue pendant environ un mois. Cette durée indique que l’acteur derrière cette attaque est sophistiqué et possède des capacités offensives avancées. Compte tenu de la complexité de la compromission, il est donc d’une importance capitale pour les organisations d’isoler les machines sur lesquelles le logiciel Daemon Tools est installé et de procéder à des analyses de sécurité pour empêcher toute propagation ultérieure d’activités malveillantes au sein des réseaux d’entreprise. »

Kaspersky détecte et bloque activement l’exécution des installeurs compromis. Les chercheurs conseillent aux organisations d’auditer leurs réseaux pour détecter la présence de Daemon Tools Lite, d’isoler les terminaux affectés et de surveiller toute exécution de commande non autorisée ou mouvement latéral. Les utilisateurs individuels doivent désinstaller sans délai l’application compromise et effectuer une analyse complète du système pour éliminer toute menace persistante.

En mars 2026, une étude de Kaspersky révèlait que les attaques de la chaîne d’approvisionnement étaient la menace cyber la plus courante rencontrée par les entreprises au cours des 12 mois précédents, bien que seulement 9 % des organisations les classaient comme une préoccupation majeure.

Pour atténuer les risques, Kaspersky recommande aux organisations les mesures suivantes :

 Auditer les chaînes d’approvisionnement logicielles : Évaluer les antécédents de sécurité du fournisseur avant d’autoriser des applications tierces.

 Appliquer des protocoles d’achat stricts : Exiger des audits de sécurité réguliers pour tous les logiciels déployés.

 Restreindre les privilèges administratifs : Mettre en œuvre le principe du moindre privilège et l’architecture "Zero Trust".

 Déployer une surveillance continue de l’infrastructure : Utiliser des solutions XDR pour identifier les anomalies en temps réel.

 Mettre à jour les plans de réponse aux incidents : Inclure des étapes spécifiques pour identifier et déconnecter rapidement les applications tierces compromises.