{"id":23879,"date":"2026-05-05T15:02:26","date_gmt":"2026-05-05T13:02:26","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23879"},"modified":"2026-05-05T17:19:30","modified_gmt":"2026-05-05T15:19:30","slug":"daemon-tools-supply-chain-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/daemon-tools-supply-chain-attack\/23879\/","title":{"rendered":"Attaque de la cha\u00eene d&rsquo;approvisionnement via DAEMON Tools"},"content":{"rendered":"<p>Nos experts ont d\u00e9couvert une attaque \u00e0 grande \u00e9chelle contre la cha\u00eene d\u2019approvisionnement via DAEMON Tools \u2013 un logiciel d\u2019\u00e9mulation de lecteurs optiques. Les attaquants ont r\u00e9ussi \u00e0 injecter du code malveillant dans les installateurs du logiciel, et tous les fichiers ex\u00e9cutables trojanis\u00e9s sont sign\u00e9s avec une signature num\u00e9rique valide d\u2019AVB Disc Soft \u2013 l\u2019\u00e9diteur de DAEMON Tools. La version malveillante du programme circule depuis le 8 avril 2026. Au moment de la r\u00e9daction, l\u2019attaque est toujours en cours. Les chercheurs de Kaspersky estiment qu\u2019il s\u2019agit d\u2019une attaque cibl\u00e9e.<\/p>\n<h2>Quels sont les risques li\u00e9s \u00e0 l\u2019installation de la version malveillante de DAEMON Tools ?<\/h2>\n<p>Une fois le logiciel trojanis\u00e9 install\u00e9 sur l\u2019ordinateur de la victime, un fichier malveillant se lance \u00e0 chaque d\u00e9marrage du syst\u00e8me et envoie une requ\u00eate \u00e0 un serveur de commande et de contr\u00f4le. En r\u00e9ponse, le serveur peut envoyer l\u2019instruction de t\u00e9l\u00e9charger et d\u2019ex\u00e9cuter des charges utiles malveillantes suppl\u00e9mentaires.<\/p>\n<p>Dans un premier temps, les attaquants d\u00e9ploient un collecteur d\u2019informations qui recueille l\u2019adresse MAC, le nom d\u2019h\u00f4te, le nom de domaine DNS, les listes des processus en cours d\u2019ex\u00e9cution et des logiciels install\u00e9s, ainsi que les param\u00e8tres de langue. Le malware envoie ensuite ces informations au serveur de commande et de contr\u00f4le.<\/p>\n<p>Dans certains cas, en r\u00e9ponse aux informations collect\u00e9es, le serveur de commande envoie une porte d\u00e9rob\u00e9e minimaliste sur la machine de la victime. Elle est capable de t\u00e9l\u00e9charger des charges utiles malveillantes suppl\u00e9mentaires, d\u2019ex\u00e9cuter des commandes shell et de lancer des modules de shellcode en m\u00e9moire.<\/p>\n<p>La porte d\u00e9rob\u00e9e peut servir \u00e0 d\u00e9ployer un implant plus sophistiqu\u00e9, baptis\u00e9 QUIC RAT. Il prend en charge plusieurs protocoles de communication avec le serveur de commande et de contr\u00f4le et peut injecter des charges utiles malveillantes dans les processus notepad.exe et conhost.exe.<\/p>\n<p>Des informations techniques plus\u00a0d\u00e9taill\u00e9es, ainsi que des indicateurs de compromission, sont disponibles dans <a href=\"https:\/\/securelist.com\/tr\/daemon-tools-backdoor\/119654\/\" target=\"_blank\" rel=\"noopener\">l\u2019article des experts sur le blog Securelist<\/a>.<\/p>\n<h2>Qui est vis\u00e9 ?<\/h2>\n<p>Depuis d\u00e9but avril, plusieurs milliers de tentatives d\u2019installation de charges utiles malveillantes suppl\u00e9mentaires via le logiciel DAEMON Tools infect\u00e9 ont \u00e9t\u00e9 d\u00e9tect\u00e9es. La plupart des appareils infect\u00e9s appartenaient \u00e0 des particuliers, mais environ 10 % des tentatives d\u2019installation ont \u00e9t\u00e9 observ\u00e9es sur des syst\u00e8mes utilis\u00e9s au sein d\u2019organisations. G\u00e9ographiquement, les victimes \u00e9taient r\u00e9parties dans une centaine de pays et territoires. La plupart se trouvaient en Russie, au Br\u00e9sil, en Turquie, en Espagne, en Allemagne, en France, en Italie et en Chine.<\/p>\n<p>Le plus souvent, l\u2019attaque s\u2019est limit\u00e9e \u00e0 l\u2019installation d\u2019un collecteur d\u2019informations. La porte d\u00e9rob\u00e9e n\u2019a infect\u00e9 qu\u2019une douzaine de machines au sein d\u2019organismes gouvernementaux, d\u2019institutions scientifiques et d\u2019entreprises manufacturi\u00e8res, ainsi que dans des commerces de d\u00e9tail en Russie, en Bi\u00e9lorussie et en Tha\u00eflande.<\/p>\n<h2>Qu\u2019est-ce qui a \u00e9t\u00e9 infect\u00e9 exactement ?<\/h2>\n<p>Le code malveillant a \u00e9t\u00e9 d\u00e9tect\u00e9 dans les versions de DAEMON Tools allant de la 12.5.0.2421 \u00e0 la 12.5.0.2434. Les attaquants ont compromis les fichiers DTHelper.exe, DiscSoftBusServiceLite.exe et DTShellHlp.exe, qui sont install\u00e9s dans le r\u00e9pertoire principal de DAEMON Tools.<\/p>\n<h2>Comment se prot\u00e9ger ?<\/h2>\n<p>Si le logiciel DAEMON Tools est utilis\u00e9 sur votre ordinateur (ou ailleurs dans votre organisation), nos experts recommandent de v\u00e9rifier minutieusement les machines sur lesquelles il est install\u00e9 afin de d\u00e9tecter toute activit\u00e9 inhabituelle depuis le 8 avril.<\/p>\n<p>En outre, nous recommandons d\u2019utiliser des solutions de s\u00e9curit\u00e9 fiables sur tous les ordinateurs \u00a0<a href=\"https:\/\/www.kaspersky.fr\/premium?icid=fr_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">domestiques<\/a> et <a href=\"https:\/\/www.kaspersky.fr\/next?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kdaily_prodmen_sm-team___knext___\" target=\"_blank\" rel=\"noopener\">d'entreprise<\/a> utilis\u00e9s pour acc\u00e9der \u00e0 Internet. Nos solutions prot\u00e8gent efficacement les utilisateurs contre l\u2019ensemble des programmes malveillants employ\u00e9s dans l\u2019attaque contre la cha\u00eene d\u2019approvisionnement via DAEMON Tools.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kaspersky-next\">\n","protected":false},"excerpt":{"rendered":"<p>Une attaque cibl\u00e9e de la cha\u00eene d\u2019approvisionnement via un logiciel populaire de montage d\u2019images disque. <\/p>\n","protected":false},"author":2706,"featured_media":23880,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[4384,155,784],"class_list":{"0":"post-23879","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-attaque-de-la-chaine-dapprovisionnement","11":"tag-malware-2","12":"tag-rat"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/daemon-tools-supply-chain-attack\/23879\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/daemon-tools-supply-chain-attack\/30691\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/25743\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/13373\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/daemon-tools-supply-chain-attack\/30542\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/29178\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/daemon-tools-supply-chain-attack\/32085\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/daemon-tools-supply-chain-attack\/30639\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/daemon-tools-supply-chain-attack\/41798\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/daemon-tools-supply-chain-attack\/14496\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/55691\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/daemon-tools-supply-chain-attack\/24956\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/daemon-tools-supply-chain-attack\/33451\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/daemon-tools-supply-chain-attack\/30625\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/daemon-tools-supply-chain-attack\/36200\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/daemon-tools-supply-chain-attack\/36093\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/attaque-de-la-chaine-dapprovisionnement\/","name":"attaque de la cha\u00eene d\u2019approvisionnement"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23879","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23879"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23879\/revisions"}],"predecessor-version":[{"id":23885,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23879\/revisions\/23885"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23880"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23879"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23879"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23879"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}