Compromiterea software‑ului DAEMON Tools, descoperită la începutul lunii mai 2026, reprezintă unul dintre cele mai importante atacuri de tip supply‑chain ale anului. Instalatoarele oficiale descărcate de pe site-ul dezvoltatorului au fost modificate pentru a include o încărcătură malițioasă, afectând utilizatori din peste 100 de țări.
În acest articol analizăm pe scurt ce s-a întâmplat, cum funcționează compromiterea, ce payload-uri au fost distribuite și ce trebuie să faci dacă ai folosit DAEMON Tools în această perioadă.
Ce s-a întâmplat?
Investigatorii Kaspersky au descoperit că instalatoarele DAEMON Tools distribuite de pe site-ul oficial au fost trojanizate începând cu 8 aprilie 2026.
Versiunile afectate sunt 12.5.0.2421 – 12.5.0.2434, toate semnate digital cu certificate legitime ale dezvoltatorului.
Compromiterea a fost activă timp de aproape o lună înainte de a fi detectată, un interval comparabil cu atacul supply‑chain 3CX din 2023.
Cum a fost compromis DAEMON Tools
Atacatorii au modificat trei fișiere executabile din instalare:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Acestea sunt executate automat la pornirea sistemului, activând o ușă din spate injectată în codul de inițializare CRT.
Backdoor-ul contactează un server C2 care imită domeniul legitim DAEMON Tools și poate primi comenzi shell pentru descărcarea și executarea de payload-uri suplimentare.
Payload-urile observate în atac
1. Colector de informații (envchk.exe)
Primul payload distribuit este un executabil .NET care colectează:
- MAC address
- hostname
- domeniu DNS
- procese active
- software instalat
- locale sistem
Acesta trimite datele către un server C2 controlat de atacatori.
Codul conține stringuri în limba chineză, dar nu există o atribuire oficială a atacului.
2. Backdoor minimalist
Un al doilea payload, mult mai rar distribuit (doar ~12 sisteme), permite:
- descărcare fișiere
- execuție comenzi shell
- execuție shellcode în memorie
Unele comenzi conțin greșeli („chiper”, „rypto.dll”), indicând activitate manuală a atacatorului.
3. QUIC RAT – implant avansat
Cel mai sofisticat payload, numit QUIC RAT, a fost folosit doar împotriva unei instituții educaționale din Rusia.
Caracteristici:
- scris în C++
- obfuscat cu control flow flattening
- folosește WolfSSL
- suportă multiple protocoale: HTTP, UDP, TCP, WSS, QUIC, DNS, HTTP/3
- poate injecta payload-uri în procese precum notepad.exe și conhost.exe
Cine a fost afectat?
Începând cu 8 aprilie, au fost detectate mii de încercări de infectare în peste 100 de țări.
Cele mai multe victime se află în:
- Rusia
- Brazilia
- Turcia
- Spania
- Germania
- Franța
- Italia
- China
Doar 10% dintre sistemele afectate aparțin organizațiilor, însă payload-urile avansate au fost folosite exclusiv pe ținte strategice (guvern, retail, științific, producție).
Recomandări pentru utilizatori și companii
Experții recomandă verificarea tuturor sistemelor care au avut instalat DAEMON Tools după 8 aprilie 2026 pentru activități suspecte.
Ce trebuie să faci imediat:
- Actualizează la versiunea 12.6.0.2445, care elimină codul malițios.
- Rulează o scanare completă cu o soluție EDR/antivirus.
- Monitorizează traficul pentru conexiuni către domenii C2 precum env-check.daemontools[.]cc.
- Verifică procesele și fișierele din %TEMP% și %APPDATA% pentru executabile necunoscute.
Concluzie
Atacul asupra DAEMON Tools confirmă tendința alarmantă a anului 2026: compromiterea lanțului de aprovizionare devine una dintre cele mai eficiente metode pentru atacatori. În doar patru luni, au fost raportate incidente similare la eScan, Notepad++, CPU‑Z și acum DAEMON Tools.
Organizațiile trebuie să adopte o strategie zero trust și să trateze chiar și software-ul popular ca potențial vector de risc.
