EmEditor

Source: Stormshield (Customer Security Lab). Dans une note publiée le 9 février 2026, l’équipe CTI prolonge l’analyse de Trend Micro (22 janvier 2026) sur l’attaque de la chaîne d’approvisionnement d’EmEditor couplée à un rare watering hole ciblant ses utilisateurs, et met en évidence la poursuite des activités malveillantes. Constats d’infrastructure: plusieurs domaines typosquattés démarrant par « emed » et en .com (ex. emeditorjp[.]com, emeditorgb[.]com, emeditorde[.]com, emeditorjapan[.]com, emedorg[.]com, emeditorltd[.]com, emedjp[.]com) sont enregistrés le 22/12/2025 via NameSilo LLC, avec des NS chez ns1/2/3.dnsowl[.]com. Des changements de résolution DNS sont observés au 06/02/2026, notamment vers 5[.]101.82.118, 5[.]101.82.159 et 46[.]28.70.245 (selon les domaines). ...

Selon Trend Micro (US), une attaque de type watering hole a compromis la page de téléchargement d’EmEditor fin 2025 afin de distribuer un installeur MSI modifié qui déploie un malware multi‑étapes. • Contexte et cible. EmEditor, éditeur de texte populaire (notamment au sein des communautés de développeurs japonaises), a publié un avis de sécurité fin décembre 2025 signalant la compromission de sa page de téléchargement. L’objectif des attaquants: diffuser un installeur altéré déclenchant discrètement une chaîne d’infection post‑installation, augmentant la dwell time et les risques de perturbation opérationnelle. ...

Source: EmEditor (emeditor.com) — Le 22 décembre 2025, Yutaka Emura annonce qu’un tiers a potentiellement modifié la redirection du bouton « Download Now » sur le site officiel, pouvant délivrer un installeur non légitime entre le 19 déc. 2025 18:39 et le 22 déc. 2025 12:50 (heure du Pacifique). L’URL de téléchargement légitime via redirection (https://support.emeditor.com/en/downloads/latest/installer/64) a été altérée pour pointer vers https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi. Le fichier servi n’a pas été créé par Emurasoft, Inc. et a été retiré. Le MSI potentiellement frauduleux porte une signature numérique « WALSHAM INVESTMENTS LIMITED ». Le problème pourrait toucher aussi des pages d’autres langues (dont le japonais). ...