ataque a la cadena de suministro
Nuestros expertos han descubierto un ataque a la cadena de suministro a gran escala a través de DAEMON Tools, un software de emulación y montaje de imágenes de disco diseñado para crear unidades virtuales de CD, DVD o Blu-ray en el ordenador. Los atacantes lograron inyectar código malicioso en los instaladores del software, y todos los archivos ejecutables troyanizados están firmados con una firma digital válida de AVB Disc Soft, el desarrollador de DAEMON Tools. La versión maliciosa del programa circula desde el 8 de abril de 2026. En el momento de redactar este texto, el ataque sigue en curso. Los investigadores de Kaspersky consideran que se trata de un ataque dirigido.
¿Cuáles son los riesgos de instalar la versión maliciosa de DAEMON Tools?
Una vez que el software troyanizado se instala en el equipo de la víctima, se ejecuta un archivo malicioso cada vez que se inicia el sistema, que envía una solicitud a un servidor de comando y control. En respuesta, el servidor puede enviar una orden para descargar y ejecutar cargas útiles maliciosas adicionales.
En primer lugar, los atacantes despliegan un recolector de información que recopila la dirección MAC, el nombre de host, el nombre de dominio DNS, las listas de procesos en ejecución y del software instalado, y la configuración de idioma. A continuación, el malware envía esta información al servidor de comando y control.
En algunos casos, en respuesta a la información recopilada, el servidor de comando envía una puerta trasera minimalista a la máquina de la víctima. Es capaz de descargar cargas útiles maliciosas adicionales, ejecutar comandos de shell y ejecutar módulos de shellcode en memoria.
La puerta trasera puede utilizarse para desplegar un implante más sofisticado denominado QUIC RAT. Es compatible con varios protocolos de comunicación con el servidor de comando y control y es capaz de inyectar cargas útiles maliciosas en los procesos notepad.exe y conhost.exe.
Puede encontrar información técnica más detallada, junto con indicadores de compromiso, en el artículo de los expertos en el blog Securelist.
¿A quiénes se dirige el ataque?
Desde principios de abril se han detectado varios miles de intentos de instalar cargas útiles maliciosas adicionales a través del software DAEMON Tools infectado. La mayoría de los dispositivos infectados pertenecían a usuarios particulares, pero aproximadamente el 10 % de los intentos de instalación se detectaron en sistemas de organizaciones. Desde el punto de vista geográfico, las víctimas se distribuían en unos cien países y territorios diferentes. La mayoría de las víctimas se encontraban en Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China.
Con mayor frecuencia, el ataque se limitó a la instalación de un recolector de información. La puerta trasera infectó solo una docena de equipos en organismos gubernamentales, instituciones científicas y empresas industriales, así como en comercios minoristas de Rusia, Bielorrusia y Tailandia.
Qué se infectó exactamente
El código malicioso se detectó en las versiones de DAEMON Tools que van de la 12.5.0.2421 a la 12.5.0.2434. Los atacantes comprometieron los archivos DTHelper.exe, DiscSoftBusServiceLite.exe y DTShellHlp.exe, que se instalan en el directorio principal de DAEMON Tools.
¿Cómo mantenerse protegido?
Si utilizas el software DAEMON Tools en tu equipo (o en cualquier otro lugar de tu organización), nuestros expertos recomiendan revisar minuciosamente los equipos en los que está instalado en busca de cualquier actividad inusual a partir del 8 de abril.
Además, recomendamos utilizar soluciones de seguridad confiables en todos los equipos para el hogar y corporativos que se usen para acceder a internet. Nuestras soluciones protegen con éxito a los usuarios de todo el malware utilizado en el ataque a la cadena de suministro a través de DAEMON Tools.
Consejos