DAEMON Tools Supply Chain Attack Compromises Official Installers with Malware

1 minute de lecture

Mis à jour : May 05, 2026

Compromission de la chaîne d’approvisionnement : Le cas DAEMON Tools

Le logiciel DAEMON Tools a été victime d’une attaque par chaîne d’approvisionnement compromettant ses installateurs officiels (versions 12.5.0.2421 à 12.5.0.2434) depuis le 8 avril 2026. Les fichiers d’installation, légitimement signés numériquement par l’éditeur, contiennent un logiciel malveillant visant à exfiltrer des données et à installer des portes dérobées sur des cibles sélectionnées.

Points clés :

Nature de l’attaque : Utilisation de certificats valides pour distribuer des installateurs trojanisés via le site officiel.
Composants infectés : DTHelper.exe, DiscSoftBusServiceLite.exe et DTShellHlp.exe.
Objectif : Téléchargement de charges utiles secondaires (envchk.exe, cdg.exe, QUIC RAT) via des communications C2 multi-protocoles.
Ciblage : Bien que des milliers d’infections de masse aient été détectées, les payloads de haut niveau sont déployés de manière chirurgicale sur des secteurs stratégiques (gouvernement, industrie, recherche).
Origine probable : Les analyses techniques suggèrent un acteur menaçant sinophone, bien qu’aucune attribution officielle ne soit confirmée.

Vulnérabilités :

Il s’agit d’une compromission de la chaîne d’approvisionnement via des signatures numériques usurpées ou volées. Aucune CVE spécifique n’est associée à cet incident, car la faille réside dans l’intégrité même du processus de distribution du fournisseur.

Recommandations :

Isolation : Isoler immédiatement les machines sur lesquelles DAEMON Tools est installé au sein des réseaux d’entreprise.
Audit : Réaliser des balayages de sécurité (security sweeps) sur les systèmes pour détecter toute activité suspecte, comme des connexions vers env-check.daemontools[.]cc ou l’exécution de processus comme notepad.exe et conhost.exe injectés.
Surveillance : Surveiller les communications réseau sortantes utilisant les protocoles HTTP, QUIC, WSS et DNS vers des serveurs non identifiés.
Mise à jour : Suivre les communications officielles de l’éditeur (AVB Disc Soft) pour la publication de correctifs ou d’outils de nettoyage.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

DAEMON Tools Supply Chain Attack Compromises Official Installers with Malware

Compromission de la chaîne d’approvisionnement : Le cas DAEMON Tools

Partager sur

Vous pourriez aimer

Weaver E-cology RCE Flaw CVE-2026-22679 Actively Exploited via Debug API

Exploitation active de la faille RCE dans Weaver E-cology

Weaver E-cology critical bug exploited in attacks since March

Exploitation active de la faille critique dans Weaver E-cology

We Scanned 1 Million Exposed AI Services. Heres How Bad the Security Actually Is

Insécurité critique des infrastructures d’IA auto-hébergées

Vimeo data breach exposes personal information of 119,000 people

Fuite de données chez Vimeo : 119 000 utilisateurs exposés via Anodot