Ataque a la cadena de suministro de DAEMON Tools
Investigadores de ciberseguridad han descubierto un sofisticado ataque a la cadena de suministro que involucra a los instaladores de DAEMON Tools. Los ciberdelincuentes lograron comprometer los instaladores oficiales de Windows distribuidos a través del sitio web legítimo de DAEMON Tools, insertando código malicioso en paquetes de software firmados digitalmente. Dado que los instaladores contaban con certificados de desarrollador auténticos, el malware parecía confiable y eludió fácilmente las defensas de seguridad convencionales.
Las versiones del instalador comprometidas iban desde la 12.5.0.2421 hasta la 12.5.0.2434, y la actividad maliciosa se remonta al 8 de abril de 2026. Solo la versión para Windows del software se vio afectada, mientras que la versión para Mac permaneció intacta. Tras la divulgación del incidente, el desarrollador AVB Disc Soft lanzó la versión 12.6.0.2445, que elimina la funcionalidad maliciosa y soluciona la vulnerabilidad.
Tabla de contenido
Componentes maliciosos ocultos dentro de procesos legítimos
Los investigadores descubrieron que los atacantes modificaron tres componentes críticos de DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Cada vez que se ejecutaba alguno de estos binarios, normalmente durante el arranque del sistema, se activaba un implante oculto en la máquina infectada. El implante se comunicaba con un dominio externo, env-check.daemontools.cc, registrado el 27 de marzo de 2026, para recuperar los comandos de shell ejecutados a través del proceso cmd.exe de Windows.
Los comandos descargados desencadenaron el despliegue de malware adicional, lo que permitió a los atacantes ampliar su control sobre los sistemas comprometidos sin pasar desapercibidos dentro del comportamiento de software de confianza.
El despliegue de malware en múltiples etapas genera alarma.
La cadena de ataque involucró varias cargas útiles secundarias diseñadas para reconocimiento, persistencia y control remoto. Entre los archivos desplegados se encontraban:
envchk.exe : una herramienta de reconocimiento basada en .NET capaz de recopilar información detallada del sistema.
cdg.exe y cdg.tmp : componentes utilizados para descifrar y lanzar una puerta trasera ligera capaz de descargar archivos, ejecutar comandos de shell y ejecutar código malicioso directamente en la memoria.
Los analistas de seguridad también identificaron la distribución de un troyano de acceso remoto conocido como QUIC RAT. Este malware admite numerosos métodos de comunicación de comando y control (C2), incluidos HTTP, TCP, UDP, DNS, WSS, QUIC y HTTP/3. Además, puede inyectar código malicioso en procesos legítimos de Windows, como notepad.exe y conhost.exe, lo que dificulta considerablemente su detección.
Miles de personas expuestas, pero solo víctimas selectas fueron el objetivo.
Los investigadores observaron varios miles de intentos de infección vinculados a los instaladores comprometidos en más de 100 países, entre ellos Rusia, Brasil, Turquía, Alemania, Francia, Italia, España y China. A pesar de la amplia propagación de la infección, solo un número limitado de sistemas recibió la carga útil de puerta trasera avanzada, lo que indica una estrategia de ataque altamente selectiva.
El malware posterior se detectó en organizaciones que operan en los sectores minorista, de investigación científica, gubernamental, manufacturero y educativo en Rusia, Bielorrusia y Tailandia. Una infección confirmada de QUIC RAT afectó específicamente a una institución educativa en Rusia.
Este despliegue selectivo sugiere firmemente que la campaña fue diseñada para atacar objetivos específicos en lugar de para infectar masivamente a otros indiscriminadamente. Sin embargo, los investigadores aún no han determinado si los atacantes pretendían realizar operaciones de ciberespionaje o ataques de "caza mayor" con fines lucrativos.
Las pruebas apuntan a un actor de amenazas sofisticado que habla chino.
Aunque no se ha vinculado oficialmente a ningún grupo de ciberdelincuentes con la operación, el análisis forense de los artefactos del malware sugiere la participación de un adversario de habla china. La complejidad de la intrusión, junto con la capacidad de comprometer software firmado distribuido a través de un canal oficial de un proveedor, demuestra capacidades ofensivas avanzadas y una planificación operativa a largo plazo.
La vulnerabilidad de DAEMON Tools se suma a una creciente ola de ataques a la cadena de suministro de software observados durante la primera mitad de 2026. Incidentes similares afectaron previamente a eScan en enero, a Notepad++ en febrero y a CPUID en abril.
¿Por qué son tan peligrosos los ataques a la cadena de suministro?
Las brechas en la cadena de suministro siguen siendo especialmente peligrosas porque explotan la confianza inherente que los usuarios depositan en los proveedores de software legítimos. Las aplicaciones descargadas directamente de sitios web oficiales y firmadas con certificados digitales válidos rara vez son consideradas sospechosas por los usuarios o los productos de seguridad.
En este caso, la actividad maliciosa permaneció sin ser detectada durante casi un mes, lo que pone de manifiesto la sofisticación de los atacantes y las limitaciones de las defensas de seguridad tradicionales basadas en el perímetro. Los profesionales de la seguridad insisten en que las organizaciones que utilizan versiones afectadas de DAEMON Tools deben aislar de inmediato los sistemas afectados y llevar a cabo operaciones exhaustivas de búsqueda de amenazas para identificar posibles movimientos laterales o actividad maliciosa adicional dentro de las redes corporativas.
Respuesta del proveedor y medidas de mitigación recomendadas
AVB Disc Soft declaró que la brecha parece limitarse a la edición Lite del software y confirmó que se está llevando a cabo una investigación para determinar el alcance total y la causa raíz del incidente.
Se recomienda encarecidamente a los usuarios que descargaron o instalaron DAEMON Tools Lite versión 12.5.1 durante el período afectado que eliminen el software de inmediato, realicen un análisis completo de antivirus y seguridad de los dispositivos finales utilizando herramientas de seguridad confiables y reinstalen únicamente la última versión limpia obtenida directamente del sitio web oficial de DAEMON Tools.
