ESET a découvert une nouvelle série d'attaques utilisant des malwares signés numériquement par des certificats D-Link authentiques, les mêmes que ceux utilisés par le fabricant pour ses propres produits. Les chercheurs expliquent que « le certificat a probablement été volé », tandis que D-Link parle simplement d'un « détournement ».

Ce dernier explique qu'il « a été victime d'un groupe de cyberespionnage très actif qui utilise le malware Plead pour dérober des informations confidentielles à des sociétés et organisations basées en Asie de l'Est, notamment à Taiwan, au Japon et à Hong Kong ».

Deux malwares sont identifiés par ESET : Plead justement, qui permet de prendre contrôle de l'ordinateur à distance et ainsi récupérer des données, et un second (sans nom) récupérant des mots de passe sur les navigateurs (entre autres).

L'éditeur antivirus a évidemment contacté D-Link, qui a révoqué les certificats le 3 juillet. Le Taïwanais n'est pas le seul concerné : un certificat provenant de Changing Information Technology est également utilisé pour signer des malwares. Là encore, il a évidemment été révoqué, le 4 juillet.

Dans les deux cas, de nouveaux certificats ont été émis.