Le 20 janvier 2026, certains clients de l'antivirus eScan ont reçu une mise à jour suspecte. MicroWorld Technologies, la maison mère, a rapidement confirmé un " incident d'accès à l'infrastructure de mise à jour ". Un serveur a été utilisé pour distribuer un fichier non autorisé pendant une fenêtre de deux heures.
La situation a depuis dégénéré en un conflit public avec la société de cybersécurité Morphisec, chacune des parties présentant une version contradictoire des événements et de leur chronologie.
Quel a été l'impact de la compromission ?
eScan minimise l'impact, parlant d'un fichier incorrect qui a causé des échecs de mise à jour, des modifications du fichier hosts système pour bloquer la connexion aux serveurs légitimes et l'apparition de messages d'erreur. L'éditeur insiste sur le fait qu'il ne s'agissait pas d'une vulnérabilité du produit lui-même, et que seuls les clients d'un cluster régional spécifique ont été touchés.
Morphisec, de son côté, décrit une " compromission critique de la chaîne d'approvisionnement " mondiale. Selon son analyse, une mise à jour malveillante a déployé un malware en plusieurs étapes, incluant une version modifiée de Reload.exe signée avec un certificat invalide.
Ce malware assurait sa persistance, se connectait à des serveurs de commande et contrôle pour télécharger des charges utiles supplémentaires, comme une backdoor nommée CONSCTLX.exe.
Qui a découvert l'incident en premier ?
eScan affirme avoir détecté l'activité suspecte via sa surveillance interne le 20 janvier et avoir publié un premier avis de sécurité dès le 21 janvier. Selon l'éditeur, Morphisec n'a publié son rapport qu'après ces faits, en " caractérisant mal les détails techniques et la portée de l'incident ".
Morphisec soutient avoir détecté l'activité malveillante le 20 janvier et contacté eScan par la suite. Dans sa communication, il se positionne comme le découvreur d'un attaque critique.
Cette version est formellement démentie par eScan, qui souligne des notifications proactives auprès des clients concernés avant même la publication de Morphisec.
Les suites de ce conflit...
Face à ce qu'elle qualifie de " fausses déclarations manifestes ", la société eScan a pris des mesures. Elle a demandé à Morphisec de retirer ses publications, ce qui a conduit à la suppression de certains messages sur les réseaux sociaux, mais pas du billet de blog initial.
Les deux entreprises recommandent aux utilisateurs de bloquer les serveurs de commande et contrôle identifiés et eScan a mis à disposition un correctif pour restaurer la fonctionnalité de mise à jour sur les systèmes affectés.
Peut-être pour y voir plus clair, Kaspersky a publié un billet de blog sur cette affaire, et en reprenant des indicateurs de compromission répertoriés par Morphisec.