Attacco alla catena di approvvigionamento di DAEMON Tools
I ricercatori di sicurezza informatica hanno scoperto un sofisticato attacco alla catena di fornitura che coinvolge i programmi di installazione di DAEMON Tools. Gli autori della minaccia sono riusciti a compromettere i programmi di installazione ufficiali di Windows distribuiti tramite il sito web legittimo di DAEMON Tools, incorporando codice dannoso in pacchetti software con firma digitale. Poiché i programmi di installazione riportavano certificati di sviluppatore autentici, il malware appariva affidabile e aggirava facilmente le difese di sicurezza convenzionali.
Le versioni del programma di installazione compromesse andavano dalla 12.5.0.2421 alla 12.5.0.2434, e l'attività dannosa è stata ricondotta all'8 aprile 2026. Solo la versione per Windows del software è stata interessata, mentre la versione per Mac è rimasta intatta. In seguito alla divulgazione dell'incidente, lo sviluppatore AVB Disc Soft ha rilasciato la versione 12.6.0.2445, che rimuove la funzionalità dannosa e risolve la vulnerabilità.
Sommario
Componenti dannosi nascosti all’interno di processi legittimi
Gli investigatori hanno scoperto che gli aggressori hanno modificato tre componenti critici di DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Ogni volta che uno di questi file binari veniva avviato, in genere all'avvio del sistema, attivava un malware nascosto sul computer infetto. Il malware comunicava con un dominio esterno, env-check.daemontools.cc, registrato il 27 marzo 2026, per recuperare i comandi shell eseguiti tramite il processo cmd.exe di Windows.
I comandi scaricati hanno attivato l'installazione di ulteriore malware, consentendo agli aggressori di estendere il controllo sui sistemi compromessi rimanendo al contempo nascosti all'interno di un comportamento software affidabile.
La diffusione di malware in più fasi desta allarme.
La catena di attacco prevedeva diversi payload secondari progettati per la ricognizione, la persistenza e il controllo remoto. Tra i file distribuiti figuravano:
envchk.exe — uno strumento di ricognizione basato su .NET in grado di raccogliere informazioni dettagliate sul sistema.
cdg.exe e cdg.tmp : componenti utilizzati per decrittografare e avviare una backdoor leggera in grado di scaricare file, eseguire comandi di shell ed eseguire shellcode direttamente in memoria.
Gli analisti della sicurezza hanno inoltre identificato la diffusione di un trojan di accesso remoto noto come QUIC RAT. Il malware supporta numerosi metodi di comunicazione di comando e controllo (C2), tra cui HTTP, TCP, UDP, DNS, WSS, QUIC e HTTP/3. Inoltre, è in grado di iniettare payload dannosi in processi legittimi di Windows come notepad.exe e conhost.exe, rendendo il rilevamento significativamente più difficile.
Migliaia di persone esposte, ma solo alcune vittime prese di mira
I ricercatori hanno osservato diverse migliaia di tentativi di infezione collegati agli installer compromessi in oltre 100 paesi, tra cui Russia, Brasile, Turchia, Germania, Francia, Italia, Spagna e Cina. Nonostante l'ampia diffusione dell'infezione, solo un numero limitato di sistemi ha ricevuto il payload backdoor avanzato, il che indica una strategia di targeting altamente selettiva.
Il malware successivo è stato rilevato all'interno di organizzazioni operanti nei settori della vendita al dettaglio, della ricerca scientifica, della pubblica amministrazione, della produzione e dell'istruzione in Russia, Bielorussia e Thailandia. Un'infezione da QUIC RAT confermata ha preso di mira specificamente un istituto scolastico in Russia.
Questo dispiegamento selettivo suggerisce fortemente che la campagna fosse stata progettata per colpire con precisione piuttosto che per infettare indiscriminatamente un gran numero di persone. Tuttavia, i ricercatori non hanno ancora stabilito se gli aggressori intendessero condurre operazioni di cyberspionaggio o attacchi mirati a fini di lucro.
Le prove indicano la presenza di un attore malevolo di lingua cinese altamente qualificato.
Sebbene nessun gruppo di hacker noto sia stato ufficialmente collegato all'operazione, l'analisi forense degli artefatti del malware suggerisce il coinvolgimento di un avversario di lingua cinese. La complessità dell'intrusione, unita alla capacità di compromettere software firmato e distribuito attraverso un canale ufficiale di un fornitore, dimostra capacità offensive avanzate e una pianificazione operativa a lungo termine.
La violazione di DAEMON Tools si aggiunge a una crescente ondata di attacchi alla catena di fornitura del software osservata durante la prima metà del 2026. Incidenti simili avevano già colpito eScan a gennaio, Notepad++ a febbraio e CPUID ad aprile.
Perché gli attacchi alla catena di approvvigionamento sono così pericolosi
Le violazioni della catena di fornitura rimangono particolarmente pericolose perché sfruttano la fiducia intrinseca che gli utenti ripongono nei fornitori di software legittimi. Le applicazioni scaricate direttamente dai siti web ufficiali e firmate con certificati digitali validi vengono raramente considerate sospette dagli utenti o dai prodotti di sicurezza.
In questo caso, l'attività dannosa sarebbe rimasta inosservata per quasi un mese, evidenziando sia la sofisticatezza degli aggressori sia i limiti delle tradizionali difese di sicurezza perimetrali. Gli esperti di sicurezza sottolineano che le organizzazioni che utilizzano le versioni interessate di DAEMON Tools dovrebbero isolare immediatamente i sistemi colpiti e condurre operazioni complete di threat hunting per identificare possibili movimenti laterali o ulteriori attività dannose all'interno delle reti aziendali.
Risposta del fornitore e misure di mitigazione raccomandate
AVB Disc Soft ha dichiarato che la violazione sembra essere limitata alla versione Lite del software e ha confermato che è in corso un'indagine per determinare la portata completa e la causa principale dell'incidente.
Agli utenti che hanno scaricato o installato DAEMON Tools Lite versione 12.5.1 durante il periodo interessato, si consiglia vivamente di rimuovere immediatamente il software, eseguire una scansione antivirus e di sicurezza completa degli endpoint utilizzando strumenti di sicurezza affidabili e reinstallare solo l'ultima versione pulita scaricata direttamente dal sito web ufficiale di DAEMON Tools.
