Trahison de l’antivirus : le serveur de mise à jour d’eScan piraté déclenche une tempête mondiale de malwares

Par un matin calme de janvier 2026, le logiciel même censé protéger des millions d’ordinateurs est devenu, à son insu, le complice d’une effrayante attaque de la chaîne d’approvisionnement. Tandis qu’entreprises et particuliers attendaient leurs mises à jour antivirus eScan habituelles, une invasion silencieuse était déjà en cours - transformant ce logiciel de sécurité essentiel en arme contre ses propres utilisateurs.

Déroulement de l’attaque

Les chercheurs en sécurité ont tiré la sonnette d’alarme lorsqu’ils ont détecté que le système de mise à jour d’eScan diffusait une version trojanisée du logiciel. En moins d’une heure, la maison mère d’eScan, MicroWorld Technologies, s’est empressée d’isoler son infrastructure et a suspendu les mises à jour mondiales pendant plus de huit heures - une réaction rapide, mais trop tard pour empêcher la propagation des dégâts à travers le monde.

Les attaquants ont orchestré une offensive en trois étapes, conçue pour la furtivité et la persistance. La première étape a remplacé le véritable Reload.exe par un sosie malveillant, signé avec un certificat eScan valide pour échapper à la détection. Ce fichier a ensuite déployé CONSCTLX.exe, un téléchargeur 64 bits capable d’exécuter pratiquement n’importe quelle commande sur la machine de la victime tout en maintenant un canal secret vers des serveurs contrôlés par les attaquants.

La deuxième étape s’est enracinée en créant de fausses tâches planifiées dans les répertoires système de Windows (comme “CorelDefrag” dans C:\Windows\Defrag\), en manipulant les clés du registre avec des charges utiles encodées, et en sabotant les mécanismes de mise à jour d’eScan. En corrompant le registre de l’antivirus et en bloquant l’accès aux serveurs de mise à jour via le fichier hosts, le malware a empêché toute récupération par des correctifs logiciels classiques.

Avec la remédiation standard bloquée, organisations et particuliers se sont retrouvés dans une impasse numérique - incapables de mettre à jour, incapables de désinfecter. L’objectif des attaquants : maximiser le temps de présence, augmenter le potentiel d’exploitation ultérieure et forcer des efforts de récupération manuels et coûteux en ressources.

Indicateurs et mesures d’atténuation

Les équipes de sécurité sont invitées à rechercher le Reload.exe compromis (SHA-256 : 36ef2ec9ada035c56644f677dab65946798575e1d8b14f1365f22d7c68269860), à examiner les tâches planifiées et les entrées du registre pour y déceler des anomalies, et à vérifier les fichiers hosts pour tout blocage de l’infrastructure eScan. Les défenseurs réseau doivent également mettre sur liste noire les domaines et IP de commande et contrôle connus, dont vhs.delrosal.net et 185.241.208.115.

Bien qu’eScan ait publié des correctifs pour restaurer les fonctionnalités, les tactiques anti-remédiation imposent une intervention manuelle sur les systèmes affectés avant que les mises à jour normales puissent reprendre - un rappel brutal des risques qui se cachent même derrière les boucliers numériques les plus fiables.

Conséquences et leçons à tirer

Cette compromission du serveur de mise à jour d’eScan est bien plus qu’une simple note technique ; c’est un signal d’alarme sur la fragilité de la confiance numérique. Lorsque le logiciel de sécurité lui-même devient vecteur d’attaque, le coût se mesure non seulement en temps d’arrêt, mais aussi en confiance ébranlée et en complexité redoutable de la récupération. Pour les défenseurs, la leçon est claire : la vigilance doit s’étendre à chaque maillon de la chaîne d’approvisionnement - surtout ceux en qui nous avons le plus confiance.

WIKICROOK

• Attaque de la chaîne d’approvisionnement : Une attaque de la chaîne d’approvisionnement est une cyberattaque qui compromet des fournisseurs de logiciels ou de matériels de confiance, propageant des malwares ou des vulnérabilités à de nombreuses organisations simultanément.
• Persistance : La persistance regroupe les techniques utilisées par les malwares pour survivre aux redémarrages et rester cachés sur les systèmes, souvent en imitant des processus ou mises à jour légitimes.
• Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
• Manipulation du registre : La manipulation du registre est la modification non autorisée des paramètres du registre Windows pour permettre, dissimuler ou pérenniser des cyberattaques, souvent en contournant la détection et les outils de sécurité.
• Logiciel trojanisé : Un logiciel trojanisé est un programme légitime secrètement modifié pour inclure un malware, infectant les utilisateurs qui l’installent et compromettant leur sécurité.