Nuestros expertos descubrieron un ataque a la cadena de suministro a gran escala que involucra a DAEMON Tools, un software utilizado para emular unidades ópticas. Los atacantes lograron inyectar código malicioso en los instaladores del programa. Además, todos los archivos ejecutables comprometidos estaban firmados con una firma digital válida de AVB Disc Soft, el desarrollador de DAEMON Tools, lo que hacía que el software pareciera legítimo. La versión maliciosa del programa está circulando desde el 8 de abril de 2026 y, al momento de redactar este texto, el ataque continúa activo. Los investigadores de Kaspersky consideran que se trata de un ataque dirigido.
Cuáles son los riesgos de instalar la versión maliciosa de DAEMON Tools?
Una vez que la versión comprometida del software se instala en el equipo de la víctima, se ejecuta un archivo malicioso cada vez que inicia el sistema. Este archivo envía una solicitud a un servidor de comando y control, desde donde los atacantes pueden ordenar la descarga y ejecución de nuevas cargas maliciosas.
En primer lugar, los atacantes despliegan un recolector de información que recopila la dirección MAC, el nombre de host, el nombre de dominio DNS, las listas de procesos en ejecución y del software instalado, y la configuración de idioma. A continuación, el malware envía esta información al servidor de comando y control.
En algunos casos, en respuesta a la información recopilada, el servidor de comando envía una puerta trasera minimalista a la máquina de la víctima. Es capaz de descargar cargas útiles maliciosas adicionales, ejecutar comandos de shell y ejecutar módulos de shellcode en memoria.
La puerta trasera puede utilizarse para desplegar un implante más sofisticado denominado QUIC RAT. Es compatible con varios protocolos de comunicación con el servidor de comando y control y es capaz de inyectar cargas útiles maliciosas en los procesos notepad.exe y conhost.exe.
La información técnica completa, junto con los indicadores de compromiso, está disponible en el artículo publicado por los expertos de Kaspersky, en el artículo de los expertos en el blog Securelist.
¿A quiénes se dirige el ataque?
Desde principios de abril se han detectado varios miles de intentos de instalar cargas útiles maliciosas adicionales a través del software DAEMON Tools infectado. La mayoría de los dispositivos infectados pertenecían a usuarios domésticos, pero aproximadamente el 10% de los intentos de instalación se detectaron en sistemas que operan en organizaciones. Geográficamente, las víctimas se distribuyeron por alrededor de un centenar de países y territorios. La mayoría de las víctimas se encontraban en Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China.
Con mayor frecuencia, el ataque se limitó a la instalación de un recolector de información. La puerta trasera infectó solo una docena de equipos en organismos gubernamentales, instituciones científicas y organizaciones manufactureras, así como en comercios minoristas de Rusia, Bielorrusia y Tailandia.
Qué se infectó exactamente
El código malicioso se detectó en las versiones de DAEMON Tools que van de la 12.5.0.2421 a la 12.5.0.2434. Los atacantes comprometieron los archivos DTHelper.exe, DiscSoftBusServiceLite.exe y DTShellHlp.exe, que se instalan en el directorio principal de DAEMON Tools.
¿Cómo mantenerse protegido?
Si se utiliza el software DAEMON Tools en su equipo (o en cualquier otro lugar de su organización), nuestros expertos recomiendan revisar minuciosamente los equipos en los que está instalado en busca de cualquier actividad inusual a partir del 8 de abril.
Además, recomendamos utilizar soluciones de seguridad confiables en todos los equipos para el hogar y corporativos que se usen para acceder a internet. Nuestras soluciones protegen con éxito a los usuarios de todo el malware utilizado en el ataque a la cadena de suministro a través de DAEMON Tools.