Volgens bevindingen van Kaspersky heeft een nieuw geïdentificeerde supply chain-aanval gericht op de DAEMON Tools-software de installatieprogramma’s gecompromitteerd om een kwaadaardige lading te leveren.
“Deze installatieprogramma’s worden gedistribueerd vanaf de legitieme website van DAEMON Tools en zijn ondertekend met digitale certificaten van de ontwikkelaars van DAEMON Tools”, aldus Kaspersky-onderzoekers Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko en Anton Kargin.
De installatieprogramma’s zijn sinds 8 april 2026 getrojaniseerd, waarbij versies variërend van 12.5.0.2421 tot 12.5.0.2434 zijn geïdentificeerd als gecompromitteerd als onderdeel van het incident. De supply chain-aanval is op het moment van schrijven actief. AVB Disc Soft, de ontwikkelaar van de software, is op de hoogte gesteld van de inbreuk.
Er is specifiek met drie verschillende componenten van DAEMON Tools geknoeid:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShelHlp.exe
Elke keer dat een van deze binaire bestanden wordt gelanceerd, wat meestal gebeurt tijdens het opstarten van het systeem, wordt een implantaat geactiveerd op de gecompromitteerde host. Het is ontworpen om een HTTP GET-verzoek naar een externe server (“env-check.daemontools(.)cc”) te sturen – een domein geregistreerd op 27 maart 2026 – om een shell-opdracht te ontvangen die wordt uitgevoerd met behulp van het “cmd.exe”-proces.
Het shell-commando wordt op zijn beurt gebruikt om een reeks uitvoerbare payloads te downloaden en uit te voeren. Deze omvatten –
- envchk.exe, een .NET-uitvoerbaar bestand om uitgebreide systeeminformatie te verzamelen.
- cdg.exe en cdg.tmp, waarvan de eerste een shellcode-lader is die verantwoordelijk is voor het decoderen van de inhoud van het tweede bestand en het lanceren van een minimalistische achterdeur die contact maakt met een externe server om bestanden te downloaden, shell-opdrachten uit te voeren en shellcode-payloads in het geheugen uit te voeren.
Het Russische cyberbeveiligingsbedrijf zei dat het enkele duizenden infectiepogingen met DAEMON Tools in zijn telemetrie heeft waargenomen, met gevolgen voor individuen en organisaties in meer dan 100 landen, zoals Rusland, Brazilië, Turkije, Spanje, Duitsland, Frankrijk, Italië en China. De achterdeur van de volgende fase is echter slechts aan een tiental hosts geleverd, wat duidt op een gerichte aanpak.
De systemen die de vervolgmalware hebben ontvangen, zijn gemarkeerd als eigendom van detailhandels-, wetenschappelijke, overheids- en productieorganisaties in Rusland, Wit-Rusland en Thailand. Bovendien is een van de payloads die via de achterdeur wordt afgeleverd een trojan voor externe toegang genaamd QUIC RAT. Er is aangifte gedaan van het gebruik van het C++-implantaat tegen één slachtoffer: een onderwijsinstelling in Rusland.
“Deze manier om de achterdeur in te zetten op een kleine subset van geïnfecteerde machines geeft duidelijk aan dat de aanvaller de intentie had om de infectie op een gerichte manier uit te voeren”, aldus Kaspersky. “Hun bedoeling – of het nu gaat om cyberspionage of ‘jacht op groot wild’ – is momenteel echter onduidelijk.”
De malware ondersteunt een verscheidenheid aan command-and-control (C2)-protocollen, waaronder HTTP, UDP, TCP, WSS, QUIC, DNS en HTTP/3, en is uitgerust met mogelijkheden om payloads te injecteren in legitieme “notepad.exe”- en “conhost.exe”-processen.
De activiteit is niet toegeschreven aan een bekende dreigingsactoren of -groep. Maar er zijn aanwijzingen dat dit het werk is van een Chineessprekende tegenstander, gebaseerd op een analyse van de waargenomen artefacten.
Het DAEMON Tools-compromis is het laatste in een groeiende lijst van incidenten in de softwaretoeleveringsketen in de eerste helft van 2026 en volgt op vergelijkbare spraakmakende inbreuken waarbij eScan in januari, Notepad++ in februari en CPUID in april betrokken waren.
“Een compromis van deze aard omzeilt de traditionele perimeterverdediging omdat gebruikers impliciet vertrouwen op digitaal ondertekende software die rechtstreeks van een officiële leverancier is gedownload”, zegt Kucherin, senior beveiligingsonderzoeker bij Kaspersky GReAT, in een verklaring gedeeld met The Hacker News.
“Daarom is de DAEMON Tools-aanval ongeveer een maand onopgemerkt gebleven. Deze periode geeft op zijn beurt aan dat de dreigingsactor achter deze aanval geavanceerd is en over geavanceerde offensieve mogelijkheden beschikt. Gezien de hoge complexiteit van het compromis is het dus van het allergrootste belang voor organisaties om machines te isoleren waarop Daemon Tools-software is geïnstalleerd, en om beveiligingsonderzoeken uit te voeren om verdere verspreiding van kwaadaardige activiteiten binnen bedrijfsnetwerken te voorkomen.”
