DAEMON 工具供应链攻击

网络安全研究人员发现了一起涉及 DAEMON Tools 安装程序的复杂供应链攻击。攻击者成功入侵了通过 DAEMON Tools 官方网站分发的官方 Windows 安装程序，并将恶意代码嵌入到经过数字签名的软件包中。由于这些安装程序带有开发者的官方证书，恶意软件看起来可信，因此很容易绕过传统的安全防御措施。

受影响的安装程序版本范围为 12.5.0.2421 至 12.5.0.2434，恶意活动可追溯至 2026 年 4 月 8 日。只有 Windows 版本的软件受到影响，Mac 版本未受影响。事件披露后，开发商 AVB Disc Soft 发布了 12.6.0.2445 版本，该版本移除了恶意功能并解决了此次安全漏洞。

隐藏在合法流程中的恶意组件

调查人员发现攻击者修改了 DAEMON Tools 的三个关键组件：

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

这些二进制文件一旦启动（通常在系统启动期间），就会在受感染的计算机上激活一个隐藏的植入程序。该植入程序会与一个于 2026 年 3 月 27 日注册的外部域 env-check.daemontools.cc 通信，以获取通过 Windows cmd.exe 进程执行的 shell 命令。

下载的命令触发了额外的恶意软件部署，使攻击者能够在保持隐蔽于可信软件行为的同时，扩大对受感染系统的控制。

多阶段恶意软件部署引发警报

攻击链涉及多个用于侦察、持久化和远程控制的二级有效载荷。部署的文件包括：

envchk.exe — 一款基于 .NET 的侦察工具，能够收集详细的系统信息。
cdg.exe 和 cdg.tmp — 用于解密和启动轻量级后门的组件，该后门能够下载文件、执行 shell 命令，并直接在内存中运行 shellcode。

安全分析人员还发现了一种名为 QUIC RAT 的远程访问木马的传播途径。该恶意软件支持多种命令与控制 (C2) 通信方式，包括 HTTP、TCP、UDP、DNS、WSS、QUIC 和 HTTP/3。此外，它还能将恶意代码注入到诸如 notepad.exe 和 conhost.exe 等合法的 Windows 进程中，从而显著增加检测难度。

数千人信息泄露，但只有部分受害者成为攻击目标

研究人员观察到，在包括俄罗斯、巴西、土耳其、德国、法国、意大利、西班牙和中国在内的100多个国家，有数千次感染尝试与被入侵的安装程序有关。尽管感染范围广泛，但只有少数系统接收到了高级后门有效载荷，这表明攻击者采取了高度选择性的目标策略。

后续恶意软件在俄罗斯、白俄罗斯和泰国的零售、科研、政府、制造和教育等行业的组织中均有发现。其中一起已确认的QUIC RAT感染事件专门针对俄罗斯的一所教育机构。

这种选择性部署强烈表明，此次攻击活动旨在精准打击目标，而非进行无差别的大规模感染。然而，研究人员尚未确定攻击者的目的是进行网络间谍活动，还是以经济利益为目的的“大型猎杀”式攻击。

证据指向一名技术娴熟的中文威胁行为者

尽管目前尚未有任何已知的威胁组织被正式认定与此次行动有关，但对恶意软件样本的取证分析表明，此次行动可能与一名讲中文的攻击者有关。此次入侵的复杂性，以及攻击者能够攻破通过官方供应商渠道分发的签名软件，都表明其拥有先进的攻击能力和长期的行动计划。

DAEMON Tools 的入侵事件是 2026 年上半年软件供应链攻击浪潮中的最新一起。此前，eScan（1 月）、Notepad++（2 月）和 CPUID（4 月）也曾遭受类似攻击。

为什么供应链攻击如此危险

供应链漏洞仍然特别危险，因为它们利用了用户对合法软件供应商固有的信任。直接从官方网站下载并使用有效数字证书签名的应用程序很少会被用户或安全产品视为可疑应用。

据报道，此次恶意活动持续近一个月未被发现，这既凸显了攻击者的复杂手段，也暴露了传统边界防御措施的局限性。安全专家强调，使用受影响的DAEMON Tools版本的组织应立即隔离受影响的系统，并开展全面的威胁搜寻行动，以识别企业网络内部可能存在的横向移动或其他恶意活动。

供应商的回应和建议的缓解措施

AVB Disc Soft 表示，此次安全漏洞似乎仅限于该软件的 Lite 版本，并确认正在进行调查，以确定事件的全部范围和根本原因。

强烈建议在受影响时间段内下载或安装了 DAEMON Tools Lite 版本 12.5.1 的用户立即卸载该软件，使用可信的安全工具执行完整的防病毒和终端安全扫描，然后仅重新安装直接从 DAEMON Tools 官方网站获取的最新纯净版本。