Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ladrons Atac a la cadena de subministrament de DAEMON Tools

Atac a la cadena de subministrament de DAEMON Tools

El Mezo el Ladrons, Portes del darrere, Eines d'administració remota
Traduir a:

Investigadors de ciberseguretat han descobert un sofisticat atac a la cadena de subministrament que implica instal·ladors de DAEMON Tools. Els actors amenaçadors van aconseguir comprometre els instal·ladors oficials de Windows distribuïts a través del lloc web legítim de DAEMON Tools, incrustant codi maliciós en paquets de programari signats digitalment. Com que els instal·ladors portaven certificats de desenvolupador autèntics, el programari maliciós semblava fiable i va eludir fàcilment les defenses de seguretat convencionals.

Les versions de l'instal·lador compromeses anaven de la 12.5.0.2421 a la 12.5.0.2434, i l'activitat maliciosa es remunta al 8 d'abril de 2026. Només l'edició per a Windows del programari es va veure afectada, mentre que la versió per a Mac va romandre intacta. Després de la divulgació de l'incident, el desenvolupador AVB Disc Soft va publicar la versió 12.6.0.2445, que elimina la funcionalitat maliciosa i soluciona la bretxa.

Components maliciosos amagats dins de processos legítims

Els investigadors van descobrir que els atacants van modificar tres components crítics de DAEMON Tools:

  • DTHelper.exe
  • DiscSoftBusServiceLite.exe
  • DTShellHlp.exe

Sempre que s'iniciava algun d'aquests binaris, normalment durant l'inici del sistema, activaven un implant ocult a la màquina infectada. L'implant es comunicava amb un domini extern, env-check.daemontools.cc, registrat el 27 de març de 2026, per recuperar ordres de shell executades a través del procés cmd.exe de Windows.

Les ordres descarregades van desencadenar un desplegament addicional de programari maliciós, cosa que va permetre als atacants ampliar el control sobre els sistemes compromesos mentre romanien ocults dins del comportament del programari de confiança.

El desplegament de programari maliciós en diverses etapes fa sonar l’alarma

La cadena d'atac va involucrar diverses càrregues útils secundàries dissenyades per a reconeixement, persistència i control remot. Entre els fitxers desplegats hi havia:

envchk.exe : una eina de reconeixement basada en .NET capaç de recopilar informació detallada del sistema.
cdg.exe i cdg.tmp : components que s'utilitzen per desxifrar i iniciar una porta del darrere lleugera capaç de descarregar fitxers, executar ordres de shell i executar shellcode directament a la memòria.

Els analistes de seguretat també van identificar el lliurament d'un troià d'accés remot conegut com a QUIC RAT. El programari maliciós admet nombrosos mètodes de comunicació de comandament i control (C2), com ara HTTP, TCP, UDP, DNS, WSS, QUIC i HTTP/3. A més, pot injectar càrregues útils malicioses en processos legítims de Windows com ara notepad.exe i conhost.exe, cosa que dificulta significativament la detecció.

Milers de persones exposades, però només algunes víctimes seleccionades van ser objectiu

Els investigadors van observar diversos milers d'intents d'infecció vinculats als instal·ladors compromesos a més de 100 països, com ara Rússia, Brasil, Turquia, Alemanya, França, Itàlia, Espanya i Xina. Malgrat l'àmplia petjada d'infecció, només un nombre limitat de sistemes van rebre la càrrega útil avançada de porta del darrere, cosa que indica una estratègia de focalització altament selectiva.

El programari maliciós posterior es va detectar en organitzacions que operaven en els sectors del comerç minorista, la investigació científica, el govern, la indústria manufacturera i l'educació a Rússia, Bielorússia i Tailàndia. Una infecció confirmada de QUIC RAT tenia com a objectiu específic una institució educativa a Rússia.

Aquest desplegament selectiu suggereix fermament que la campanya va ser dissenyada per a una focalització precisa en lloc d'una infecció massiva indiscriminada. Tanmateix, els investigadors encara no han determinat si els atacants tenien la intenció de dur a terme operacions de ciberespionatge o atacs de "caça major" amb motivacions financeres.

Les proves apunten cap a un actor d’amenaces sofisticat de parla xinesa

Tot i que no s'ha vinculat oficialment cap grup d'amenaces conegut a l'operació, l'anàlisi forense dels artefactes de programari maliciós suggereix la implicació d'un adversari de parla xinesa. La complexitat de la intrusió, combinada amb la capacitat de comprometre programari signat distribuït a través d'un canal oficial de proveïdors, demostra capacitats ofensives avançades i planificació operativa a llarg termini.

El compromís de DAEMON Tools s'uneix a una onada creixent d'atacs a la cadena de subministrament de programari observats durant la primera meitat del 2026. Incidents similars van afectar anteriorment eScan al gener, Notepad++ al febrer i CPUID a l'abril.

Per què els atacs a la cadena de subministrament són tan perillosos

Els compromisos de la cadena de subministrament continuen sent especialment perillosos perquè exploten la confiança inherent que els usuaris dipositen en els proveïdors de programari legítims. Les aplicacions descarregades directament des de llocs web oficials i signades amb certificats digitals vàlids rarament són tractades com a sospitoses pels usuaris o els productes de seguretat.

En aquest cas, l'activitat maliciosa va romandre sense ser detectada durant gairebé un mes, cosa que destaca tant la sofisticació dels atacants com les limitacions de les defenses de seguretat tradicionals basades en el perímetre. Els professionals de la seguretat emfatitzen que les organitzacions que utilitzen versions afectades de DAEMON Tools haurien d'aïllar immediatament els sistemes afectats i dur a terme operacions exhaustives de caça d'amenaces per identificar possibles moviments laterals o activitats malicioses addicionals dins de les xarxes corporatives.

Resposta del proveïdor i mesures de mitigació recomanades

AVB Disc Soft va declarar que la violació sembla limitada a l'edició Lite del programari i va confirmar que hi ha una investigació en curs per determinar l'abast complet i la causa principal de l'incident.

Es recomana fermament als usuaris que hagin descarregat o instal·lat la versió 12.5.1 de DAEMON Tools Lite durant el període afectat que eliminin el programari immediatament, realitzin una anàlisi completa de seguretat antivirus i de punt final amb eines de seguretat de confiança i que reinstal·lin només la darrera versió neta obtinguda directament del lloc web oficial de DAEMON Tools.

Tendència

Més vist

Carregant...