Le célèbre logiciel DAEMON Tools est impacté par un incident de sécurité : depuis avril 2026, des installateurs officiels pour Windows, hébergés sur le site légitime de l’éditeur, distribuent des logiciels malveillants à l’insu des utilisateurs. Voici ce que l’on sait.

DAEMON Tools est une solution permettant de créer et de monter des images sur votre machine Windows ou votre Mac, notamment au format ISO. Écrire cet article me rappelle des souvenirs… Je l’ai utilisé des dizaines de fois. Ce logiciel était tellement pratique, jusqu’à ce que Windows soit capable de monter lui-même et nativement les images disques. Malheureusement, il est au cœur d’un incident de sécurité dans le sillage de ceux ayant impactés CPUID et Notepad++.

Les versions légitimes de DAEMON Tools infectées

Selon les récentes découvertes des chercheurs en cybersécurité de Kaspersky (Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko et Anton Kargin), les installateurs de DAEMON Tools sont infectés par un malware depuis le 8 avril 2026. Cette attaque cible directement la version Windows, et plus précisément les versions 12.5.0.2421 à 12.5.0.2434. La version Mac du logiciel n’est quant à elle pas concernée par cet incident.

Il s’agirait d’une nouvelle attaque de type supply-chain puisque les pirates sont parvenus à injecter du code malveillant au sein des versions légitimes de DAEMON Tools. Autrement dit, le code malveillant est contenu dans les versions signées et disponibles via le site officiel.

Comme l’explique Kaspersky : “Ces installateurs sont distribués depuis le site web légitime de DAEMON Tools et sont signés avec des certificats numériques appartenant aux développeurs de DAEMON Tools”.

L’analyse des chercheurs révèle que trois binaires livrés avec le logiciel sont compromis :

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

Ils sont stockés dans le répertoire d’installation de DAEMON Tools (Lite ou Ultra). Par exemple : . Quand l’application est lancée (bien souvent au démarrage du système de façon automatique), une communication HTTP est établie avec un serveur contrôlé par les attaquants et associé au domaine “env-check.daemontools[.]cc”, un domaine malveillant enregistré le 27 mars 2026.

L’objectif ? Exécuter des commandes sur la machine infectée. “En réponse aux requêtes envoyées, le serveur peut renvoyer une commande shell à exécuter via le processus cmd.exe.”, expliquent les chercheurs. Cette méthode aurait été utilisée pour lancer des commandes PowerShell sur la machine, notamment pour collecter des informations sur l’environnement local (nom d’hôte, adresse MAC, liste des logiciels installés, etc.).

Une infection mondiale

Les données télémétriques de Kaspersky révèlent plusieurs milliers de tentatives d’infection réparties dans plus de 100 pays, incluant notamment la France, l’Allemagne, l’Espagne, la Russie, le Brésil, l’Italie et la Chine. À chaque fois, il y a eu cette phase de collecte d’informations qui semble systématique.

Ce qui ne l’est pas, c’est la seconde étape : le déploiement de la porte dérobée, en particulier un cheval de Troie d’accès à distance (RAT) baptisé QUIC RAT. En effet, Kaspersky explique qu’elle a été déployée uniquement sur quelques machines, ce qui laisse penser que les cibles sont ensuite sélectionnées. Il y aura notamment des organisations des secteurs de la vente au détail, de la science, des usages et quelques entités gouvernementales. À chaque fois, il s’agirait de cibles situées en Russie, en Biélorussie et en Thaïlande.

“Si nous avons constaté que le collecteur d’informations avait été déployé sur un grand nombre de machines infectées, nous avons également remarqué que les pirates avaient tenté d’injecter une autre charge utile sur un très petit nombre de machines, soit une douzaine environ.”, peut-on lire.

À ce stade, aucune attribution à un groupe de pirates connu n’a été établie. De son côté, l’éditeur du logiciel, AVB Disc Soft, a été notifié par Kaspersky suite à la détection de cette activité malveillante. D’après The Hacker News, l’éditeur de DAEMON Tools mène actuellement des investigations suite aux signalements effectués par Kaspersky. Néanmoins, rien n’indique que le nettoyage a été effectué, donc il est préférable de ne pas télécharger cet outil pour le moment.