Le célèbre logiciel DAEMON Tools a été infecté : une attaque de la chaîne d'approvisionnement est en cours

Depuis avril 2026 via les programmes d'installation distribués depuis le site officiel

Kaspersky a révélé qu'une nouvelle attaque de la chaîne d'approvisionnement visant le célèbre logiciel DAEMON Tools avait compromis ses programmes d'installation, permettant ainsi aux pirates informatiques de diffuser une charge utile malveillante sur des appareils appartenant à des particuliers et à des organisations de plus de 100 pays, dont la France. L'analyse de la société de cybersécurité a révélé que les programmes d'installation du logiciel, notamment les versions allant de la 12.5.0.2421 à la 12.5.0.2434, avaient été infectés par un cheval de Troie à partir du 8 avril 2026. Des indices laissent supposer qu'il s'agit d'un acteur malveillant parlant chinois. Selon Kaspersky, ce déploiement suggère des opérations ciblées, même si l'objectif ultime des pirates, qu'il s'agisse de cyberespionnage ou d'attaques à motivation financière, reste pour l'instant inconnu.

DAEMON Tools est un logiciel qui permet de créer des lecteurs virtuels et de graver des disques optiques. Le programme prétend pouvoir contourner la plupart des systèmes de protection contre la copie, comme SafeDisc, SecuROM, LaserLock, CD-Cops, StarForce ou Protect CD, utilisés sur certains disques de jeux vidéo. Il est disponible pour les systèmes d'exploitation Microsoft Windows (de la version 2000 à Windows 10) et Mac OS.

Kaspersky Lab est une multinationale russe spécialisée dans la cybersécurité et les solutions antivirus, dont le siège social est situé à Moscou, en Russie. Elle a été fondée en 1997 par Eugene Kaspersky, Natalya Kaspersky et Alexey De-Monderik. Kaspersky Lab développe et commercialise des antivirus, des solutions de sécurité des terminaux, des systèmes SIEM, des solutions XDR, ainsi que d'autres produits et services liés à la cybersécurité. L'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky a été à l'origine de la découverte de plateformes d'espionnage sophistiquées mises en place par des États, telles que le groupe Equation et le ver Stuxnet. Kaspersky publie également chaque année l'enquête mondiale sur les risques liés à la sécurité informatique.


Début mai 2026, Kaspersky a découvert que les programmes d'installation du logiciel DAEMON Tools, utilisé pour monter des images disque, avaient été compromis par une charge utile malveillante. Ces programmes d'installation sont distribués depuis le site web officiel de DAEMON Tools et sont signés à l'aide de certificats numériques appartenant aux développeurs de DAEMON Tools. L'analyse de la société de sécurité a révélé que les programmes d'installation du logiciel avaient été infectés par un cheval de Troie à partir du 8 avril 2026. Plus précisément, Kaspersky a identifié que les versions de DAEMON Tools allant de la 12.5.0.2421 à la 12.5.0.2434 étaient compromises. A la date du 6 mai 2026, l'attaque de la chaîne d'approvisionnement était toujours active. Des indices suggérant que l'auteur de cette attaque est un locuteur chinois ont été identifiés dans les implants malveillants observés. La société de sécurité a contacté AVB Disc Soft, l'éditeur de DAEMON Tools, afin que des mesures supplémentaires puissent être prises pour remédier aux conséquences de l'attaque.

Dès le début du mois d'avril, Kaspersky a détecté dans ses données télémétriques plusieurs milliers de tentatives d'infection impliquant DAEMON Tools, touchant des particuliers et des organisations dans plus de 100 pays. Cependant, parmi toutes les machines infectées, l'entreprise de cybersécurité n'a observé le déploiement de charges utiles de phase avancée que sur une douzaine d'entre elles. Ces machines ayant reçu ces charges utiles appartenaient à des organisations issues des secteurs de la distribution, de la recherche scientifique, des administrations publiques et de l'industrie manufacturière, ce qui indique que cette attaque de la chaîne d'approvisionnement est de nature ciblée.


Kaspersky affirme que ses solutions sont en mesure de protéger les utilisateurs contre les charges malveillantes diffusées via l'attaque de la chaîne d'approvisionnement de DAEMON Tools.

Fichiers binaires infectés par le cheval de Troie

L'analyse de Kaspersky a révélé que, pour les versions de DAEMON Tools allant de la 12.5.0.2421 à la 12.5.0.2434, les pirates ont réussi à compromettre les fichiers binaires suivants du programmes d'installation :

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

Ces fichiers se trouvent dans le répertoire où DAEMON Tools est installé, par exemple C:\Program Files\DAEMON Tools Lite. Il convient de noter que ces fichiers sont signés numériquement par le développeur de DAEMON Tools, AVB Disc Soft.

Chaque fois que l'un de ces binaires est lancé, ce qui se produit au démarrage de la machine, une porte dérobée est activée. Cette porte dérobée est intégrée au code de démarrage chargé d'initialiser l'environnement CRT. Elle s'exécute dans un thread dédié, utilisé pour envoyer des requêtes GET à l'URL suivante :


Le serveur utilisé pour les communications est malveillant, et son adresse est conçue pour détourner le nom de domaine légitime daemon-tools[.]cc, utilisé pour télécharger DAEMON Tools. Il est à noter que, selon les données WHOIS, le nom de domaine de ce serveur malveillant a été enregistré le 27 mars, soit environ une semaine avant le début de l'attaque de la chaîne d'approvisionnement.


En réponse aux requêtes envoyées, le serveur peut renvoyer une commande shell destinée à être exécutée via le processus cmd.exe. Kaspersky a constaté que cette commande shell respectait le modèle suivant :


Comme le montre le modèle, ces commandes shell servent à télécharger et à exécuter une charge utile exécutable. Kaspersky a rencontré plusieurs types de ces charges utiles, telles que décrites ci-dessous.

Collecteur d'informations

La première charge utile observée par Kaspersky comme étant déployée par les attaquants est un collecteur d'informations. Celui-ci a été déployé à l'aide de la commande suivante :


Le fichier envchk.exe (SHA1 : 2d4eb55b01f59c62c6de9aacba9b47267d398fe4) est un exécutable .NET utilisé pour collecter des informations système détaillées. Son code contient des chaînes de caractères en chinois. Bien que cela puisse laisser supposer qu'un acteur sinophone est à l'origine de cette attaque, Kaspersky n'attribue pour l'instant la compromission de DAEMON Tools à aucun acteur en particulier....