Les installateurs de DAEMON Tools ont été trojanisés dans une attaque supply-chain qui a diffusé une backdoor à l’échelle mondiale

Des chercheurs en sécurité indiquent que des installateurs officiels de DAEMON Tools ont été trojanisés dans une attaque supply-chain active depuis le 8 avril, diffusant une backdoor vers des milliers de systèmes dans plus de 100 pays. Le fait que la distribution ait eu lieu via le site officiel du fournisseur rend l’incident particulièrement grave.

Éléments confirmés

Les versions compromises vont de 12.5.0.2421 à 12.5.0.2434. Les binaires malveillants identifiés comprennent DTHelper.exe, DiscSoftBusServiceLite.exe et DTShellHlp.exe. La première étape du malware collectait des informations de profilage sur les machines, tandis que la seconde pouvait exécuter des commandes et télécharger des fichiers supplémentaires.

Portée et impact

Seule une douzaine de machines environ aurait reçu un payload de second niveau, ce qui suggère une sélection ciblée après une compromission large. Les victimes suivantes comprenaient des organisations du commerce, de la science, du secteur public et de l’industrie en Russie, au Bélarus et en Thaïlande. Kaspersky a observé QUIC RAT dans au moins un cas. À l’heure de publication, DAEMON Tools n’avait pas commenté publiquement. Cette affaire rappelle à quel point les attaques supply-chain restent efficaces pour détourner la confiance accordée aux canaux logiciels officiels.