Un ataque a la cadena de suministro recientemente identificado dirigido al software DAEMON Tools ha comprometido a sus instaladores para entregar una carga útil maliciosa, según los hallazgos de Kaspersky.
«Estos instaladores se distribuyen desde el sitio web legítimo de DAEMON Tools y están firmados con certificados digitales que pertenecen a los desarrolladores de DAEMON Tools», dijeron los investigadores de Kaspersky Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko y Anton Kargin.
Los instaladores han sido troyanizados desde el 8 de abril de 2026, con versiones que van desde 12.5.0.2421 a 12.5.0.2434 identificadas como comprometidas como parte del incidente. El ataque a la cadena de suministro está activo al momento de escribir este artículo. AVB Disc Soft, el desarrollador del software, ha sido notificado de la infracción.
Específicamente, se han manipulado tres componentes diferentes de DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Cada vez que se inicia uno de estos binarios, lo que suele ocurrir durante el inicio del sistema, se activa un implante en el host comprometido. Está diseñado para enviar una solicitud HTTP GET a un servidor externo («env-check.daemontools(.)cc»), un dominio registrado el 27 de marzo de 2026, para recibir un comando de shell que se ejecuta mediante el proceso «cmd.exe».
El comando shell, por su parte, se utiliza para descargar y ejecutar una serie de cargas útiles ejecutables. Estos incluyen –
- envchk.exe, un ejecutable .NET para recopilar amplia información del sistema.
- cdg.exe y cdg.tmp, el primero de los cuales es un cargador de shellcode responsable de descifrar el contenido del segundo archivo y abrir una puerta trasera minimalista que contacta a un servidor remoto para descargar archivos, ejecutar comandos de shell y ejecutar cargas útiles de shellcode en la memoria.
La empresa rusa de ciberseguridad dijo que observó varios miles de intentos de infección que involucraban herramientas DAEMON en su telemetría, lo que afectó a personas y organizaciones en más de 100 países, como Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China. Sin embargo, la puerta trasera de la siguiente etapa se entregó solo a una docena de hosts, lo que indica un enfoque específico.
Los sistemas que recibieron el siguiente malware han sido marcados como pertenecientes a organizaciones minoristas, científicas, gubernamentales y de fabricación en Rusia, Bielorrusia y Tailandia. Es más, una de las cargas útiles entregadas a través de la puerta trasera es un troyano de acceso remoto denominado QUIC RAT. El uso del implante C++ se ha registrado contra una única víctima: una institución educativa ubicada en Rusia.
«Esta forma de implementar la puerta trasera en un pequeño subconjunto de máquinas infectadas indica claramente que el atacante tenía intenciones de llevar a cabo la infección de manera específica», dijo Kaspersky. «Sin embargo, su intención, ya sea ciberespionaje o ‘caza mayor’, no está clara actualmente».
El malware admite una variedad de protocolos de comando y control (C2), incluidos HTTP, UDP, TCP, WSS, QUIC, DNS y HTTP/3, y viene equipado con capacidades para inyectar cargas útiles en procesos legítimos «notepad.exe» y «conhost.exe».
La actividad no se ha atribuido a ningún actor o grupo de amenazas conocido. Pero la evidencia apunta a que es obra de un adversario de habla china según un análisis de los artefactos observados.
El compromiso de DAEMON Tools es el último de una lista cada vez mayor de incidentes en la cadena de suministro de software en la primera mitad de 2026, y sigue a violaciones similares de alto perfil que involucraron a eScan en enero, Notepad++ en febrero y CPUID en abril.
«Un compromiso de esta naturaleza pasa por alto las defensas perimetrales tradicionales porque los usuarios confían implícitamente en el software firmado digitalmente y descargado directamente de un proveedor oficial», dijo Kucherin, investigador senior de seguridad de Kaspersky GReAT, en un comunicado compartido con The Hacker News.
«Debido a esto, el ataque de DAEMON Tools ha pasado desapercibido durante aproximadamente un mes. Este período de tiempo, a su vez, indica que el actor de amenaza detrás de este ataque es sofisticado y tiene capacidades ofensivas avanzadas. Dada la alta complejidad del compromiso, es por lo tanto de suma importancia para las organizaciones aislar las máquinas que tienen instalado el software Daemon Tools, así como realizar barridos de seguridad para evitar una mayor propagación de actividades maliciosas dentro de las redes corporativas».