Kaspersky révèle une compromission du site officiel de Daemon Tools ayant permis la diffusion d’un malware via une version signée du logiciel. L’attaque, active depuis début avril, a touché des utilisateurs dans plus de 100 pays, y compris des organisations des secteurs public et privé.
Le site officiel de Daemon Tools a servi de point de diffusion à une attaque de la chaîne d’approvisionnement détectée par les chercheurs du GReAT de Kaspersky. Depuis le 8 avril 2026, des versions compromises du logiciel d’émulation de lecteur virtuel embarquent un malware capable d’exécuter des commandes arbitraires et de prendre le contrôle à distance des machines infectées.
Selon Kaspersky, les attaquants ont modifié les binaires légitimes de l’application afin d’injecter du code malveillant dès le lancement du processus. Le malware s’appuie également sur un service Windows légitime pour assurer sa persistance sur les postes compromis. La campagne concerne la version 12.5.0.2421 de Daemon Tools ainsi que les versions suivantes, y compris la plus récente.
L’opération est restée invisible pendant près d’un mois, notamment parce que les installeurs compromis étaient signés avec un certificat numérique valide et distribués directement depuis le domaine officiel du fournisseur.
Une compromission difficile à détecter
Les chercheurs rappellent que ce type de logiciel nécessite des privilèges administrateur élevés pour fonctionner. Dans ce cas précis, cette caractéristique a facilité l’ancrage du malware au sein des systèmes infectés.
Kaspersky estime que la compromission contourne efficacement les mécanismes de défense classiques, les utilisateurs téléchargeant un logiciel considéré comme légitime depuis le site officiel de l’éditeur. « Une compromission de cette nature contourne les défenses périmétriques traditionnelles car les utilisateurs font implicitement confiance à un logiciel signé numériquement et téléchargé directement depuis le site officiel d’un fournisseur », explique Georgy Kucherin, chercheur principal en sécurité au sein du GReAT de Kaspersky.
La télémétrie de l’éditeur montre une diffusion mondiale dans plus de 100 pays et territoires. Les principaux foyers d’infection identifiés se situent en Russie, au Brésil, en Turquie, en Espagne, en Allemagne, en France, en Italie et en Chine.
Des organisations également touchées
Si la majorité des victimes sont des particuliers, environ 10 % des systèmes compromis appartiennent à des entreprises ou des organisations. Kaspersky indique avoir observé, sur un nombre restreint de machines issues des secteurs du commerce, de la recherche, de l’industrie et du gouvernement, des opérations menées manuellement après l’infection initiale.
Les attaquants ont notamment déployé des charges additionnelles, parmi lesquelles un injecteur de shellcode et plusieurs chevaux de Troie d’accès à distance jusque-là inconnus. D’après les chercheurs, certaines commandes exécutées contenaient des fautes de frappe et des incohérences laissant penser à une activité opérée manuellement contre des cibles sélectionnées.
Des artefacts en langue chinoise ont été retrouvés dans les implants malveillants, sans qu’aucune attribution formelle à un groupe connu ne soit établie à ce stade.
Isolement des machines concernées
Kaspersky indique avoir alerté AVB Disc Soft, éditeur de Daemon Tools, afin que des mesures correctives soient engagées. L’éditeur de sécurité affirme également bloquer l’exécution des installeurs compromis.
Les chercheurs recommandent aux organisations d’identifier les postes sur lesquels Daemon Tools Lite est installé, d’isoler les terminaux concernés et de surveiller toute activité anormale ou mouvement latéral sur le réseau. Les utilisateurs individuels sont invités à désinstaller l’application compromise et à réaliser une analyse complète de leur système.
Cette campagne intervient alors que les attaques de la chaîne d’approvisionnement restent largement sous-estimées par les organisations. Kaspersky rappelait en mars 2026 que ce type d’attaque figurait parmi les menaces les plus fréquemment rencontrées au cours des douze derniers mois, alors que seules 9 % des entreprises interrogées les considéraient comme une préoccupation majeure
