🗓️ Contexte

Publié le 3 mai 2026 sur BleepingComputer par Lawrence Abrams, cet article couvre deux événements liés : un faux positif massif de Microsoft Defender sur des certificats DigiCert légitimes, et la compromission réelle de l’autorité de certification DigiCert ayant conduit à l’émission frauduleuse de certificats EV de signature de code.

🚨 Faux positifs Microsoft Defender

Depuis le 30 avril 2026, une mise à jour de signatures Defender (antérieure à la version 1.449.430.0) a commencé à détecter des certificats racine DigiCert légitimes présents dans le Windows trust store comme Trojan:Win32/Cerdigent.A!dha.

Les certificats concernés (empreintes SHA1) :

  • 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
  • DDFB16CD4931C973A2037D3FC83A4D7D775D05E4

Ces certificats ont été supprimés du registre Windows : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\

Microsoft a corrigé le problème dans la version 1.449.430.0 (version actuelle : 1.449.431.0), qui restaure également les certificats supprimés. Microsoft a confirmé que les faux positifs étaient liés à des détections ajoutées en réponse à la brèche DigiCert.

🔓 Compromission de DigiCert

En début avril, des acteurs malveillants ont ciblé un membre de l’équipe support de DigiCert via des messages de support contenant un fichier ZIP malveillant déguisé en capture d’écran. Après plusieurs tentatives bloquées, un appareil d’analyste a été compromis, suivi d’un second système resté non détecté en raison d’un « sensor gap » de protection endpoint.

L’accès au portail support interne a permis aux attaquants d’obtenir des « initialization codes » pour des commandes de certificats EV de signature de code approuvées mais non livrées. Combinés aux commandes approuvées, ces codes ont suffi à obtenir des certificats EV Code Signing valides.

DigiCert a révoqué 60 certificats de signature de code, dont 27 liés à la campagne malware « Zhong Stealer » :

  • 11 signalés par des membres de la communauté
  • 16 identifiés lors de l’investigation interne

🐛 Campagne Zhong Stealer / GoldenEyeDog (APT-Q-27)

Les certificats frauduleux ont été utilisés pour signer des malwares dans une campagne attribuée au groupe criminel chinois GoldenEyeDog (APT-Q-27). Les certificats étaient émis au nom de sociétés légitimes : Lenovo, Kingston, Shuttle Inc, Palit Microsystems.

Chaîne d’infection observée :

  • 📧 Phishing par email avec fausse image/capture d’écran
  • ▶️ Exécutable de premier stade affichant une image leurre
  • ☁️ Récupération d’un payload de second stade depuis du stockage cloud (AWS)
  • ✍️ Utilisation de binaires signés et de loaders liés à des éditeurs légitimes

Le malware Zhong Stealer est décrit comme se comportant davantage comme un RAT que comme un infostealer.

📌 Type d’article

Article de presse spécialisée combinant rapport d’incident (faux positif Defender) et analyse de menace (campagne Zhong Stealer / brèche DigiCert), destiné à informer les administrateurs système et les équipes CTI.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • GoldenEyeDog (cybercriminal) — Malpedia

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
  • T1195 — Supply Chain Compromise (Initial Access)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1078 — Valid Accounts (Defense Evasion)

IOC

  • SHA1 : 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43VT · MalwareBazaar
  • SHA1 : DDFB16CD4931C973A2037D3FC83A4D7D775D05E4VT · MalwareBazaar
  • Chemins : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\

Malware / Outils

  • Zhong Stealer (rat)

🟢 Indice de vérification factuelle : 75/100 (haute)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 7136 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : GoldenEyeDog (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/microsoft-defender-wrongly-flags-digicert-certs-as-trojan-win32-cerdigentadha/