Un ataque a la cadena de suministro recién identificado contra el software DAEMON Tools ha comprometido sus instaladores para distribuir una carga maliciosa, según hallazgos de Kaspersky.
"Estos instaladores se distribuyen desde el sitio web legítimo de DAEMON Tools y están firmados con certificados digitales pertenecientes a los desarrolladores de DAEMON Tools", señalaron los investigadores de Kaspersky Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko y Anton Kargin.
Los instaladores han sido troyanizados desde el 8 de abril de 2026, y se identificaron como comprometidas las versiones 12.5.0.2421 a 12.5.0.2434. Si bien DAEMON Tools también está disponible para Mac, Kaspersky indicó a The Hacker News que solo la versión de Windows se vio comprometida. El ataque a la cadena de suministro sigue activo al momento de redactar este artículo. AVB Disc Soft, el desarrollador del software, ha sido notificado de la vulneración.
Específicamente, se alteraron tres componentes diferentes de DAEMON Tools: DTHelper.exe, DiscSoftBusServiceLite.exe y DTShellHlp.exe. Cada vez que se ejecuta uno de estos binarios, lo que suele ocurrir durante el inicio del sistema, se activa un implante en el equipo comprometido. Este está diseñado para enviar una solicitud HTTP GET a un servidor externo ("env-check.daemontools[.]cc") – un dominio registrado el 27 de marzo de 2026 – con el fin de recibir un comando de shell que se ejecuta mediante el proceso "cmd.exe".
El comando de shell, a su vez, se utiliza para descargar y ejecutar una serie de cargas ejecutables. Estas incluyen: envchk.exe, un ejecutable .NET para recopilar información extensa del sistema; cdg.exe y cdg.tmp, donde el primero es un cargador de shellcode que descifra el contenido del segundo archivo y lanza una puerta trasera minimalista que se comunica con un servidor remoto para descargar archivos, ejecutar comandos de shell y ejecutar cargas de shellcode en la memoria.
La empresa rusa de ciberseguridad indicó que observó varios miles de intentos de infección relacionados con DAEMON Tools en su telemetría, afectando a individuos y organizaciones en más de 100 países, como Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China. Sin embargo, la puerta trasera de segunda etapa solo se entregó a una docena de equipos, lo que indica un enfoque dirigido.
Los sistemas que recibieron el malware de seguimiento fueron identificados como pertenecientes a organizaciones minoristas, científicas, gubernamentales y manufactureras en Rusia, Bielorrusia y Tailandia. Además, una de las cargas útiles entregadas a través de la puerta trasera es un troyano de acceso remoto denominado QUIC RAT. El uso de este implante en C++ se registró contra una sola víctima: una institución educativa ubicada en Rusia.
"Esta forma de desplegar la puerta trasera en un pequeño subconjunto de máquinas infectadas indica claramente que el atacante tenía la intención de realizar la infección de manera dirigida", dijo Kaspersky. "Sin embargo, su intención – ya sea ciberespionaje o ‘caza mayor’ – actualmente no está clara".
El malware admite varios protocolos de comando y control (C2), incluidos HTTP, UDP, TCP, WSS, QUIC, DNS y HTTP/3, y cuenta con capacidades para inyectar cargas útiles en procesos legítimos "notepad.exe" y "conhost.exe".
La actividad no se ha atribuido a ningún actor o grupo de amenazas conocido. Pero la evidencia apunta a que es obra de un adversario de habla china, según un análisis de los artefactos observados.
El compromiso de DAEMON Tools es el último de una creciente lista de incidentes en la cadena de suministro de software en el primer semestre de 2026, y sigue a vulneraciones de alto perfil similares que involucraron a eScan en enero, Notepad++ en febrero y CPUID en abril.
"Un compromiso de esta naturaleza elude las defensas perimetrales tradicionales porque los usuarios confían implícitamente en el software firmado digitalmente descargado directamente de un proveedor oficial", dijo Kucherin, investigador senior de seguridad en Kaspersky GReAT, en una declaración compartida con The Hacker News. "Debido a eso, el ataque a DAEMON Tools pasó desapercibido durante aproximadamente un mes. Este período de tiempo, a su vez, indica que el actor de amenazas detrás de este ataque es sofisticado y posee capacidades ofensivas avanzadas. Dada la alta complejidad del compromiso, es de suma importancia que las organizaciones aíslen las máquinas que tienen instalado el software DAEMON Tools, así como realicen barridos de seguridad para evitar una mayor propagación de actividades maliciosas dentro de las redes corporativas".
Al ser contactado para hacer comentarios, un representante del desarrollador letón dijo que "están al tanto del informe y actualmente están investigando la situación". "Nuestro equipo está tratando este asunto con la máxima prioridad y está trabajando activamente para evaluar y abordar el problema", agregó el portavoz. "En esta etapa, no estamos en condiciones de confirmar detalles específicos mencionados en el informe. Sin embargo, estamos tomando todas las medidas necesarias para remediar cualquier riesgo potencial y garantizar la seguridad de nuestros usuarios. Proporcionaremos una actualización tan pronto como tengamos información más verificada para compartir".
Actualización
AVB Disc Soft ha lanzado una actualización de software para abordar el incidente en la cadena de suministro. "La versión actualizada 12.6.0.2445 ya no incluye el comportamiento malicioso", dijo Kaspersky.
En una declaración compartida con la publicación, AVB Disc Soft dijo que el incidente se limita a la versión Lite del software y que continúa investigando la causa raíz y el alcance completo de la vulneración. La declaración completa de la empresa se reproduce textualmente a continuación: "En menos de 12 horas de identificar el problema, pudimos implementar una solución. Según nuestros hallazgos actuales, el problema se limitó a la versión gratuita DAEMON Tools Lite y no afectó a ninguno de nuestros otros productos. No hemos identificado evidencia que respalde las afirmaciones de que todos los usuarios de DAEMON Tools se vieron afectados, y en esta etapa, no estamos en condiciones de confirmar ningún impacto en los clientes de versiones de pago. Nuestro análisis actual indica que DAEMON Tools Pro y DAEMON Tools Ultra no se vieron afectados y son absolutamente seguros. El 5 de mayo de 2026, lanzamos la versión 12.6 de DAEMON Tools Lite, que no contiene los archivos presuntamente comprometidos. Recomendamos encarecidamente a todos los usuarios que actualicen a la última versión para garantizar su protección total".
La compañía también dijo que ha aislado y asegurado los sistemas afectados; eliminado todos los archivos potencialmente comprometidos de la distribución; auditado el proceso de compilación y lanzamiento; reconstruido y validado los paquetes de instalación; y fortalecido los controles de seguridad internos y los sistemas de monitoreo.
Además, se recomienda a los usuarios que descargaron o instalaron DAEMON Tools Lite versión 12.5.1 (gratuita) durante el período afectado que desinstalen la aplicación, ejecuten un análisis completo del sistema con un software de seguridad o antivirus de confianza y descarguen la última versión de DAEMON Tools Lite desde el sitio web.
