DAEMON Tools leveranskedjeattack
Cybersäkerhetsforskare har avslöjat en sofistikerad leveranskedjeattack som involverade installationsprogram för DAEMON Tools. Hotaktörer lyckades kompromettera officiella Windows-installationsprogram som distribuerades via den legitima webbplatsen DAEMON Tools och bäddade in skadlig kod i digitalt signerade programvarupaket. Eftersom installationsprogrammen hade autentiska utvecklarcertifikat verkade skadlig programvara pålitlig och kunde enkelt kringgå konventionella säkerhetsförsvar.
De komprometterade installationsversionerna varierade från 12.5.0.2421 till 12.5.0.2434, med skadlig aktivitet spårad tillbaka till den 8 april 2026. Endast Windows-versionen av programvaran påverkades, medan Mac-versionen förblev orörd. Efter att incidenten avslöjades släppte utvecklaren AVB Disc Soft version 12.6.0.2445, som tar bort den skadliga funktionen och åtgärdar intrånget.
Innehållsförteckning
Skadliga komponenter dolda inuti legitima processer
Utredarna upptäckte att angriparna modifierade tre kritiska komponenter i DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Närhelst någon av dessa binärfiler startade, vanligtvis under systemstart, aktiverade de ett dolt implantat på den infekterade maskinen. Implantatet kommunicerade med en extern domän, env-check.daemontools.cc, registrerad den 27 mars 2026, för att hämta shell-kommandon som kördes via Windows cmd.exe-processen.
De nedladdade kommandona utlöste ytterligare distribution av skadlig kod, vilket gjorde det möjligt för angripare att utöka kontrollen över komprometterade system samtidigt som de förblev dolda inom betrodd programvarubeteende.
Flerstegsdistribution av skadlig kod väcker larm
Attackkedjan involverade flera sekundära nyttolaster utformade för rekognosering, uthållighet och fjärrstyrning. Bland de utplacerade filerna fanns:
envchk.exe — ett .NET-baserat rekognoseringsverktyg som kan samla in detaljerad systeminformation.
cdg.exe och cdg.tmp — komponenter som används för att dekryptera och starta en lätt bakdörr som kan ladda ner filer, köra skalkommandon och köra skalkod direkt i minnet.
Säkerhetsanalytiker identifierade också leverans av en fjärråtkomsttrojan som kallas QUIC RAT. Skadlig programvara stöder ett flertal kommando-och-kontroll-kommunikationsmetoder (C2), inklusive HTTP, TCP, UDP, DNS, WSS, QUIC och HTTP/3. Dessutom kan den injicera skadliga nyttolaster i legitima Windows-processer som notepad.exe och conhost.exe, vilket gör upptäckten betydligt svårare.
Tusentals avslöjade, men endast utvalda offer riktade mot dem
Forskare observerade flera tusen infektionsförsök kopplade till de komprometterade installationsprogrammen i mer än 100 länder, inklusive Ryssland, Brasilien, Turkiet, Tyskland, Frankrike, Italien, Spanien och Kina. Trots den breda infektionsspårningen mottog endast ett begränsat antal system den avancerade bakdörrsnyttolasten, vilket indikerar en mycket selektiv målinriktningsstrategi.
Den efterföljande skadliga programvaran upptäcktes inom organisationer verksamma inom detaljhandel, vetenskaplig forskning, myndigheter, tillverkning och utbildning i Ryssland, Vitryssland och Thailand. En bekräftad QUIC RAT-infektion riktade sig specifikt mot en utbildningsinstitution i Ryssland.
Denna selektiva utplacering tyder starkt på att kampanjen utformades för precisionsinriktning snarare än urskillningslös massinfektion. Forskarna har dock ännu inte fastställt om angriparna avsåg att utföra cyberspionageoperationer eller ekonomiskt motiverade "storviltsjaktattacker".
Bevis pekar mot en sofistikerad kinesisktalande hotbild
Även om ingen känd hotgrupp officiellt har kopplats till operationen, tyder forensisk analys av skadlig kod på inblandning från en kinesisktalande motståndare. Intrångets komplexitet, i kombination med möjligheten att kompromettera signerad programvara som distribueras via en officiell leverantörskanal, visar på avancerad offensiv kapacitet och långsiktig operativ planering.
DAEMON Tools-attackerna ansluter sig till en växande våg av attacker mot programvaruleveranskedjan som observerades under första halvåret 2026. Liknande incidenter drabbade tidigare eScan i januari, Notepad++ i februari och CPUID i april.
Varför attacker i leveranskedjan är så farliga
Kompromitteringar i leveranskedjan är fortfarande särskilt farliga eftersom de utnyttjar det inneboende förtroende som användare har för legitima programvaruleverantörer. Program som laddas ner direkt från officiella webbplatser och signeras med giltiga digitala certifikat behandlas sällan som misstänkta av användare eller säkerhetsprodukter.
I det här fallet förblev den skadliga aktiviteten enligt uppgift oupptäckt i nästan en månad, vilket belyser både angriparnas sofistikerade karaktär och begränsningarna hos traditionella perimeterbaserade säkerhetsförsvar. Säkerhetsexperter betonar att organisationer som använder berörda DAEMON Tools-versioner omedelbart bör isolera berörda system och genomföra omfattande hotjaktsoperationer för att identifiera eventuell lateral förflyttning eller ytterligare skadlig aktivitet inom företagsnätverk.
Leverantörens svar och rekommenderade åtgärder
AVB Disc Soft uppgav att intrånget verkar begränsat till Lite-utgåvan av programvaran och bekräftade att en pågående utredning pågår för att fastställa hela omfattningen och grundorsaken till incidenten.
Användare som laddade ner eller installerade DAEMON Tools Lite version 12.5.1 under den berörda tidsramen rekommenderas starkt att omedelbart avinstallera programvaran, utföra en fullständig antivirus- och endpoint-säkerhetsskanning med pålitliga säkerhetsverktyg och endast installera om den senaste rena versionen som hämtats direkt från den officiella DAEMON Tools-webbplatsen.
