Outils / Actualités / Backdoor APT PDFSIDER exploite l'outil PDF24
Presse

Backdoor APT PDFSIDER exploite l'outil PDF24

· VaultTools

Resecurity a découvert une backdoor Windows sophistiquée qui utilise l'application de bureau légitime PDF24 comme vecteur d'attaque par DLL side-loading. Le malware a compromis avec succès une entreprise du Fortune 100 et a depuis été adopté par des groupes de ransomware dont Qilin.

VaultTools · 25 mars 2026

Code vert de style Matrix défilant sur un écran noir, représentant un malware opérant invisiblement à l'intérieur d'une application de confiance. Photo de Markus Spiske sur Unsplash

Table des matières


Ce Qui S’est Passé

Le 18 janvier 2026, la société de cybersécurité Resecurity a publié une analyse détaillée de PDFSIDER, une backdoor Windows jusqu’alors inconnue dotée de capacités de niveau APT. Le malware utilise PDF24 Creator, l’un des outils PDF de bureau gratuits les plus populaires au monde avec des dizaines de millions d’installations, comme vecteur de diffusion.

Resecurity a identifié PDFSIDER lors d’une intervention de réponse à incident dans une entreprise du Fortune 100. Les attaquants avaient placé un fichier cryptbase.dll malveillant dans le même répertoire que PDF24.exe. Au lancement de l’application, Windows résolvait la recherche de DLL avant d’atteindre le répertoire système légitime et chargeait à la place la bibliothèque des attaquants. L’application PDF24 originale continuait de fonctionner normalement, sans donner le moindre signe visible de compromission.

Comment l’Attaque Fonctionne

Le DLL side-loading exploite l’ordre de recherche des DLL de Windows. Lorsqu’un exécutable charge une bibliothèque par son nom, Windows commence par chercher dans le répertoire propre de l’application avant les chemins système protégés. Un attaquant capable d’écrire un fichier dans le même dossier qu’un exécutable de confiance peut détourner son exécution sans modifier le programme lui-même.

La cryptbase.dll malveillante de PDFSIDER installe une backdoor résidant en mémoire avec les caractéristiques suivantes :

  • Communications chiffrées AES-256-GCM avec un serveur de commande et contrôle distant
  • Vérifications anti-machine-virtuelle qui entravent l’analyse en sandbox
  • Exécution persistante liée au lancement de PDF24.exe

Comme le vecteur de chargement est une application de confiance que des millions d’utilisateurs ouvrent au quotidien, les outils de sécurité des terminaux qui s’appuient sur la notation de réputation ou sur des listes d’applications autorisées peuvent ne pas détecter l’activité.

Qui Est Derrière et Qui Est Touché

Resecurity a attribué PDFSIDER à un acteur malveillant sophistiqué dont les techniques correspondent à des opérations de niveau APT. Après la première divulgation concernant le Fortune 100, plusieurs groupes de ransomware dont Qilin ont intégré la backdoor dans leurs propres chaînes d’attaque en l’espace de quelques jours. SecurityWeek a confirmé la propagation à d’autres groupes peu après la publication initiale.

L’application PDF24 elle-même n’est pas compromise. L’attaque nécessite qu’un attaquant obtienne d’abord un accès en écriture à un répertoire où PDF24 est installé, généralement via une intrusion préalable ou une étape ciblée dans la chaîne logistique logicielle.

Pourquoi les Outils PDF de Bureau Portent ce Risque de Façon Structurelle

La campagne PDFSIDER met en lumière un risque qui s’applique à tout exécutable largement installé et de confiance : l’application devient le vecteur d’attaque précisément parce que les utilisateurs et les outils de sécurité lui font confiance.

Les outils PDF de bureau sont des cibles attrayantes pour cette raison. Ils sont installés sur de larges populations, fonctionnent avec des droits utilisateur, accèdent à des documents sensibles et sont ouverts fréquemment. Un attaquant qui place une DLL malveillante aux côtés d’un outil PDF populaire obtient un accès persistant et discret à chaque fois que l’utilisateur traite un document.

Les outils PDF basés sur le navigateur et compilés en WebAssembly n’ont aucune empreinte binaire installée. Il n’y a aucun exécutable sur le disque auquel une DLL malveillante pourrait s’attacher, aucun répertoire d’application accessible en écriture et aucun processus avec un chemin de recherche de DLL exploitable. Le traitement s’effectue dans le bac à sable du navigateur, et le seul résultat est le fichier traité en mémoire, téléchargé directement sur l’appareil de l’utilisateur.

Ce que les Utilisateurs Doivent Faire

Les utilisateurs de PDF24 Creator et d’autres outils PDF de bureau devraient vérifier qu’aucun fichier DLL inattendu ne se trouve aux côtés des exécutables d’application. Sous Windows, ces mesures réduisent l’exposition :

  • Maintenir les signatures antivirus à jour ; les principaux éditeurs ont ajouté des signatures PDFSIDER après la divulgation par Resecurity
  • Utiliser des répertoires d’installation d’applications dans lesquels les utilisateurs standard ne peuvent pas écrire
  • Activer Windows Defender Credential Guard pour restreindre l’abus des API cryptographiques

Pour les organisations évaluant leurs outils PDF, l’incident PDFSIDER est un argument concret en faveur d’alternatives basées sur le navigateur qui éliminent entièrement la surface d’attaque des binaires installés.


Sources