Los hallazgos de Kaspersky Lab revelan un nuevo ataque a la cadena de suministro dirigido al software DAEMON Tools, cuyo instalador se vio comprometido y entregó una carga útil maliciosa.
«Estos instaladores se distribuyen desde el sitio web oficial de DAEMON Tools y están firmados con certificados digitales propiedad de los desarrolladores de DAEMON Tools», dijeron los investigadores de Kaspersky Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko y Anton Kargin.
El instalador ha sido troyanizado desde el 8 de abril de 2026, y se confirmó que las versiones 12.5.0.2421 a 12.5.0.2434 se vieron comprometidas como parte del incidente. Los ataques a la cadena de suministro se están volviendo más activos al momento de escribir este artículo. El desarrollador del software, AVB Disc Soft, ha sido notificado de esta infracción.
En concreto, tres componentes diferentes de DAEMON Tools se han visto comprometidos.
DTHelper.exe DiscSoftBusServiceLite.exe DTSellHlp.exe
Cada vez que se inicia uno de estos binarios, lo que normalmente ocurre durante el inicio del sistema, el implante se activa en el host comprometido. Está diseñado para enviar una solicitud HTTP GET a un servidor externo (‘env-check.daemontools(.)cc’) (dominio registrado el 27 de marzo de 2026) para recibir comandos de shell que se ejecutan mediante el proceso ‘cmd.exe’.
Los comandos de Shell se utilizan para descargar y ejecutar un conjunto de cargas útiles ejecutables. Estos incluyen –
envchk.exe, un archivo ejecutable .NET para recopilar información extensa del sistema. cdg.exe y cdg.tmp. El primero es un cargador de shellcode que descifra el contenido del segundo archivo, se conecta a un servidor remoto, descarga el archivo, ejecuta comandos de shell y lanza una puerta trasera mínima que ejecuta la carga útil del shellcode en la memoria.
Una empresa rusa de ciberseguridad anunció que observó miles de intentos de infección que involucraban herramientas DAEMON en su telemetría, lo que afectó a personas y organizaciones en más de 100 países, incluidos Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China. Sin embargo, la puerta trasera de la siguiente etapa solo se distribuyó a una docena de hosts, lo que indica un enfoque específico.
Se informa que los sistemas que reciben malware posterior pertenecen a organizaciones minoristas, científicas, gubernamentales y de fabricación en Rusia, Bielorrusia y Tailandia. Además, una de las cargas útiles entregadas a través de la puerta trasera es un troyano de acceso remoto llamado QUIC RAT. Se ha documentado el uso de implantes C++ en la única víctima, una institución educativa ubicada en Rusia.
«Implementar una puerta trasera en algunas de las máquinas infectadas de esta manera indica claramente que los atacantes intentaron llevar a cabo la infección de manera específica», dijo Kaspersky. «Sin embargo, sus intenciones no están claras en este momento, ya sea ciberespionaje o ‘caza mayor'».
El malware admite varios protocolos de comando y control (C2), como HTTP, UDP, TCP, WSS, QUIC, DNS y HTTP/3, y tiene la capacidad de inyectar cargas útiles en procesos legítimos ‘notepad.exe’ y ‘conhost.exe’.
Esta actividad no se atribuye a ningún atacante o grupo conocido. Sin embargo, la evidencia basada en el análisis de los artefactos observados indica que fue obra de un enemigo de habla china.
La violación de DAEMON Tools es la última de una lista cada vez mayor de incidentes en la cadena de suministro de software en la primera mitad de 2026, y sigue a violaciones similares de alto perfil que involucraron a eScan en enero, Notepad++ en febrero y CPUID en abril.
«Las infracciones de esta naturaleza evitan las defensas perimetrales tradicionales porque los usuarios confían implícitamente en el software firmado digitalmente y descargado directamente de los proveedores oficiales», dijo Kucherin, investigador senior de seguridad de Kaspersky GReAT, en un comunicado compartido con The Hacker News.
«Como tal, el ataque de DAEMON Tools pasó desapercibido durante aproximadamente un mes. Este período indica que los atacantes detrás de este ataque son sofisticados y tienen capacidades de ataque avanzadas. Por lo tanto, dada la complejidad de la infracción, es de suma importancia que las organizaciones aíslen las máquinas con el software Daemon Tools instalado y realicen barridos de seguridad para evitar una mayor propagación de actividad maliciosa dentro de las redes corporativas».
Source link
