Investigadores de seguridad revelaron recientemente que el software de unidad óptica virtual ampliamente utilizado DAEMON Tools ha sufrido un grave ataque a la cadena de suministro. A su instalador oficial se le ha implantado una puerta trasera desde principios de abril de 2026 y se ha distribuido a través de canales formales, afectando a miles de dispositivos en todo el mundo. Según los resultados de la investigación publicados por Kaspersky, los atacantes invadieron el paquete de instalación legítimo e inyectaron código malicioso en el archivo binario oficialmente firmado digitalmente, permitiendo que el programa malicioso se entregara disfrazado de una actualización de software confiable.
La investigación muestra que esta ronda de ataques comenzó el 8 de abril de 2026, con múltiples versiones de DAEMON Tools (12.5.0.2421 a 12.5.0.2434) estaban "envenenadas" y las manipuladas El programa de instalación se alojaba directamente en el sitio web oficial del software y se firmaba con un certificado digital válido del desarrollador AVB Disc Soft, lo que aumentaba considerablemente la probabilidad de que los usuarios desconfiaran y fueran engañados. Los investigadores señalaron que a principios de mayo el ataque todavía estaba en curso y la infraestructura maliciosa correspondiente todavía estaba activa.
En este incidente, se modificaron varios archivos ejecutables principales, como DTHelper.exe, DiscSoftBusServiceLite.exe y DTShellHlp.exe, y se agregó una lógica de puerta trasera oculta. Una vez instalado el software, estos componentes se ejecutan automáticamente en el inicio del sistema y establecen comunicación con servidores externos de comando y control (C2). El atacante también registró y activó un nombre de dominio que era muy similar al nombre del sitio oficial de DAEMON Tools para disfrazar el tráfico malicioso como un comportamiento de acceso normal; el nombre de dominio sólo se registró unos días antes de que comenzara el ataque, lo que demuestra que el ataque fue cuidadosamente premeditado y planeado.
Desde la perspectiva del enlace de ataque, esta operación mostró una estructura en fases obvia. En la mayoría de los dispositivos de las víctimas, el sistema recibe primero una carga útil inicial de robo de información que se utiliza para recopilar una variedad de datos ambientales, incluida la dirección MAC, el nombre del host, la lista de software instalado, los procesos en ejecución, la configuración de la red y la configuración de idioma/región del sistema. Estos datos se cargarán en un servidor controlado por el atacante y presumiblemente se utilizarán para perfilar y evaluar el valor del sistema infectado, decidiendo así si se lanzan herramientas de nivel superior en el futuro. Los investigadores también encontraron algunas cadenas de caracteres chinos en la carga útil, lo que sugiere que el atacante puede ser un usuario chino, pero aún no hay una conclusión formal y clara sobre la trazabilidad.
Aunque se han detectado miles de intentos de infección en todo el mundo, solo una pequeña cantidad de hosts objetivo reciben realmente el programa malicioso de segunda etapa. Estos "objetivos prioritarios" están afiliados en su mayoría a organizaciones industriales como el gobierno, la industria manufacturera, la investigación científica y el comercio minorista. Este método de entrega limitada y sobrecarga dirigida muestra que no se trata de un simple ataque oportunista, sino más bien de una acción dirigida con la intención de recopilar inteligencia o penetración estratégica.
Entre las herramientas confirmadas de la segunda etapa, los investigadores encontraron una puerta trasera minimalista que puede ejecutar comandos, descargar archivos y cargar código malicioso directamente en la memoria para ejecutarlo en el sistema de la víctima y reducir los rastros de aterrizaje. En al menos una infracción exitosa, los atacantes también desplegaron un implante avanzado llamado QUIC RAT. Este programa malicioso admite múltiples protocolos de comunicación como HTTP, TCP, DNS, QUIC, etc., y puede inyectar su propio código malicioso en procesos legítimos como notepad.exe, ocultando así aún más sus seguimientos de actividad.
Los datos de telemetría muestran que se han observado intentos de infección relacionados en más de 100 países. Las regiones con el mayor número de sistemas afectados incluyen Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China. Alrededor del 10% de los dispositivos afectados pertenecen a diversas organizaciones, y la mayoría del resto solo permanece en la etapa inicial de recopilación de datos y no recibe más cargas útiles de la segunda etapa.
Kaspersky afirmó que sus productos de seguridad pueden detectar e interceptar este ataque en múltiples aspectos, incluida la identificación de comportamientos de descarga sospechosos basados en PowerShell, programas maliciosos ejecutados desde directorios temporales, actividades que inyectan código en procesos legítimos y patrones anormales de comunicación de red externa. Los investigadores recomiendan que cualquier organización que haya instalado DAEMON Tools después del 8 de abril de 2026 realice una auditoría exhaustiva de los sistemas relevantes, centrándose en comprobar si hay actividades anormales en la línea de comandos de PowerShell y ejecuciones sospechosas desencadenadas desde el directorio temporal. Al mismo tiempo, las organizaciones deben priorizar la implementación de una arquitectura de seguridad de confianza cero, limitar los permisos ejecutables de directorios temporales y mejorar la resiliencia general de la seguridad a través de una estrategia de defensa en capas.
Este incidente en la cadena de suministro de DAEMON Tools muestra una vez más que los atacantes mejoran constantemente sus métodos de ataque contra la cadena de suministro de software, combinan la distribución a gran escala con ataques precisos y utilizan software legal y confiable como trampolín para penetrar diversos entornos. Bajo esta tendencia, incluso las herramientas de software de uso común que durante mucho tiempo se han considerado de "seguridad" deben considerarse fuentes potenciales de riesgo, y las organizaciones deben adoptar estrategias de seguridad más prudentes y proactivas para hacer frente a amenazas cada vez más complejas a la cadena de suministro.