DAEMON Tools compromis : attaque supply chain active depuis le 8 avril 2026

🔍 Contexte

Publié le 5 mai 2026 sur Securelist (Kaspersky), cet article de threat intelligence documente une attaque de type supply chain visant le logiciel DAEMON Tools, utilisé pour monter des images disque. La compromission a été identifiée début mai 2026 et remonte au 8 avril 2026.

🎯 Nature de l’attaque

Les installeurs officiels de DAEMON Tools (versions 12.5.0.2421 à 12.5.0.2434), distribués depuis le site légitime d’AVB Disc Soft et signés numériquement par le développeur, ont été trojanisés. Trois binaires ont été compromis :

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

Un backdoor est activé au démarrage de la machine via le code d’initialisation CRT. Il envoie des requêtes GET vers https://env-check.daemontools[.]cc/2032716822411?s=<nom_machine>, un domaine typosquattant le domaine légitime, enregistré le 27 mars 2026, une semaine avant le début de l’attaque.

🧩 Chaîne d’infection et payloads

Le serveur C2 répond avec des commandes shell téléchargeant et exécutant des payloads via PowerShell :

1. Information collector (envchk.exe) — déployé massivement :

• Exécutable .NET contenant des chaînes en chinois
• Collecte : adresse MAC, hostname, domaine DNS, processus en cours, logiciels installés, locale système
• Exfiltre vers http://38.180.107.76/09505aca4f538bd via POST

2. Backdoor minimaliste (cdg.exe + cdg.tmp) — déployé sur une douzaine de machines :

• Loader de shellcode chiffré RC4
• Capacités : téléchargement de fichiers, exécution de commandes shell, exécution de shellcode en mémoire
• Heartbeat POST vers http://38.180.107.76/79437f5edda13f9c066/version/check

3. QUIC RAT — déployé contre une seule organisation (institution éducative en Russie) :

• Codé en C++, obfusqué par control flow flattening
• Lié statiquement à la bibliothèque WolfSSL
• Intègre le corps de msquic.dll dans sa section .data
• Protocoles C2 supportés : HTTP, UDP, TCP, WSS, QUIC, DNS, HTTP/3
• Capable d’injecter des payloads dans notepad.exe et conhost.exe

🌍 Victimologie

• Milliers de tentatives d’infection dans plus de 100 pays
• Pays les plus touchés : Russie, Brésil, Turquie, Espagne, Allemagne, France, Italie, Chine
• 10% des systèmes affectés appartiennent à des organisations
• Payloads avancés déployés uniquement sur une douzaine de machines appartenant à des organisations des secteurs : gouvernement, scientifique, manufacturing, retail (Russie, Biélorussie, Thaïlande)

🕵️ Attribution

Des artefacts suggérant un acteur sinophone ont été identifiés (chaînes en chinois dans le code). Kaspersky ne procède à aucune attribution formelle à un acteur connu.

📋 Type d’article

Il s’agit d’un rapport d’incident technique publié par Kaspersky, visant à documenter la compromission, partager les IoCs et les règles de détection avec la communauté cybersécurité.

🧠 TTPs et IOCs détectés

TTP

• T1195.002 — Compromise Software Supply Chain (Initial Access)
• T1553.002 — Code Signing (Defense Evasion)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
• T1105 — Ingress Tool Transfer (Command and Control)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
• T1082 — System Information Discovery (Discovery)
• T1057 — Process Discovery (Discovery)
• T1518 — Software Discovery (Discovery)
• T1055 — Process Injection (Defense Evasion)
• T1027.002 — Obfuscated Files or Information: Software Packing (Defense Evasion)
• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)

IOC

• IPv4 : 38.180.107.76 — AbuseIPDB · VT · ThreatFox
• Domaines : env-check.daemontools.cc — VT · URLhaus · ThreatFox
• URLs : https://env-check.daemontools.cc/2032716822411 — URLhaus
• URLs : http://38.180.107.76/env_check_script — URLhaus
• URLs : http://38.180.107.76/09505aca4f538bd — URLhaus
• URLs : http://38.180.107.76/b3593ac2edb34f4d4d — URLhaus
• URLs : http://38.180.107.76/368b1365bd9176b359 — URLhaus
• URLs : http://38.180.107.76/79437f5edda13f9c066/version/check — URLhaus
• URLs : http://38.180.107.76/407fbb423143f99fe0 — URLhaus
• URLs : http://38.180.107.76/07fbb423143f99fe07 — URLhaus
• SHA1 : 9ccd769624de98eeeb12714ff1707ec4f5bf196d — VT · MalwareBazaar
• SHA1 : 50d47adb6dd45215c7cb4c68bae28b129ca09645 — VT · MalwareBazaar
• SHA1 : 0c1d3da9c7a651ba40b40e12d48ebd32b3f31820 — VT · MalwareBazaar
• SHA1 : 28b72576d67ae21d9587d782942628ea46dcc870 — VT · MalwareBazaar
• SHA1 : 46b90bf370e60d61075d3472828fdc0b85ab0492 — VT · MalwareBazaar
• SHA1 : 6325179f442e5b1a716580cd70dea644ac9ecd18 — VT · MalwareBazaar
• SHA1 : bd8fbb5e6842df8683163adbd6a36136164eac58 — VT · MalwareBazaar
• SHA1 : 15ed5c3384e12fe4314ad6edbd1dcccf5ac1ee29 — VT · MalwareBazaar
• SHA1 : 524d2d92909eef80c406e87a0fc37d7bb4dadc14 — VT · MalwareBazaar
• SHA1 : 427f1728682ebc7ffe3300fef67d0e3cb6b62948 — VT · MalwareBazaar
• SHA1 : 8e7eb0f5ac60dd3b4a9474d2544348c3bda48045 — VT · MalwareBazaar
• SHA1 : 00e2df8f42d14072e4385e500d4669ec783aa517 — VT · MalwareBazaar
• SHA1 : aea55e42c4436236278e5692d3dcbcbe5fe6ce0b — VT · MalwareBazaar
• SHA1 : 0456e2f5f56ec8ed16078941248e7cbba9f1c8eb — VT · MalwareBazaar
• SHA1 : 9a09ad7b7e9ff7a465aa1150541e231189911afb — VT · MalwareBazaar
• SHA1 : 8d435918d304fc38d54b104a13f2e33e8e598c82 — VT · MalwareBazaar
• SHA1 : 64462f751788f529c1eb09023b26a47792ecdc54 — VT · MalwareBazaar
• SHA1 : 2d4eb55b01f59c62c6de9aacba9b47267d398fe4 — VT · MalwareBazaar
• SHA1 : 9dbfc23ebf36b3c0b56d2f93116abb32656c42e4 — VT · MalwareBazaar
• SHA1 : 295ce86226b933e7262c2ce4b36bdd6c389aaaef — VT · MalwareBazaar
• Fichiers : DTHelper.exe
• Fichiers : DiscSoftBusServiceLite.exe
• Fichiers : DTShellHlp.exe
• Fichiers : envchk.exe
• Fichiers : cdg.exe
• Fichiers : cdg.tmp
• Fichiers : imp.tmp
• Fichiers : piyu.exe
• Fichiers : mcrypto.chiper
• Fichiers : mcrypto.dat
• Fichiers : crypto.dll
• Chemins : C:\Program Files\DAEMON Tools Lite\DTHelper.exe
• Chemins : C:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe
• Chemins : C:\Program Files\DAEMON Tools Lite\DTShellHlp.exe
• Chemins : C:\Windows\Temp\envchk.exe
• Chemins : C:\Windows\Temp\cdg.exe
• Chemins : C:\Windows\Temp\cdg.tmp
• Chemins : C:\Windows\Temp\imp.tmp
• Chemins : C:\Windows\Temp\piyu.exe
• Chemins : C:\ProgramData\Microsoft\mcrypto.chiper
• Chemins : C:\Windows\Temp\crypto.dll

Malware / Outils

• QUIC RAT (rat)
• envchk.exe (information collector) (other)
• cdg.exe (shellcode loader) (loader)
• Minimalistic backdoor (backdoor)

🟢 Indice de vérification factuelle : 87/100 (haute)

• ✅ securelist.com — source reconnue (liste interne) (20pts)
• ✅ 18298 chars — texte complet (fulltext extrait) (15pts)
• ✅ 51 IOCs dont des hashes (15pts)
• ✅ 2/5 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (12pts)
• ✅ 15 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 38.180.107.76 (ip) → VT (19/91 détections)
• env-check.daemontools.cc (domain) → VT (19/91 détections) + ThreatFox (Unknown malware)

🔗 Source originale : https://securelist.com/tr/daemon-tools-backdoor/119654/