DAEMON 工具供應鏈攻擊

網路安全研究人員發現了一起涉及 DAEMON Tools 安裝程式的複雜供應鏈攻擊。攻擊者成功入侵了透過 DAEMON Tools 官方網站分發的官方 Windows 安裝程序，並將惡意程式碼嵌入到經過數位簽署的軟體包中。由於這些安裝程式附帶開發者的官方證書，惡意軟體看起來可信，因此很容易繞過傳統的安全防禦措施。

受影響的安裝程式版本範圍為 12.5.0.2421 至 12.5.0.2434，惡意活動可追溯至 2026 年 4 月 8 日。只有 Windows 版本的軟體受到影響，Mac 版本未受影響。事件揭露後，開發人員 AVB Disc Soft 發布了 12.6.0.2445 版本，該版本移除了惡意功能並解決了此安全漏洞。

隱藏在合法流程中的惡意元件

調查人員發現攻擊者修改了 DAEMON Tools 的三個關鍵組件：

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

這些二進位檔案一旦啟動（通常在系統啟動期間），就會在受感染的電腦上啟動一個隱藏的植入程式。此植入程式會與一個於 2026 年 3 月 27 日註冊的外部網域 env-check.daemontools.cc 通信，以取得透過 Windows cmd.exe 進程執行的 shell 命令。

下載的命令觸發了額外的惡意軟體部署，使攻擊者能夠在保持隱蔽於可信任軟體行為的同時，擴大對受感染系統的控制。

多階段惡意軟體部署引發警報

攻擊鏈涉及多個用於偵察、持久化和遠端控制的二級有效載荷。部署的文件包括：

envchk.exe — 一款基於 .NET 的偵察工具，能夠收集詳細的系統資訊。
cdg.exe 和 cdg.tmp — 用於解密和啟動輕量級後門的元件，該後門能夠下載檔案、執行 shell 命令，並直接在記憶體中執行 shellcode。

安全分析人員還發現了一種名為 QUIC RAT 的遠端存取木馬的傳播途徑。此惡意軟體支援多種命令與控制 (C2) 通訊方式，包括 HTTP、TCP、UDP、DNS、WSS、QUIC 和 HTTP/3。此外，它還能將惡意程式碼注入到諸如 notepad.exe 和 conhost.exe 等合法的 Windows 進程中，從而顯著增加偵測難度。

數千人資訊洩露，但只有部分受害者成為攻擊目標

研究人員觀察到，在包括俄羅斯、巴西、土耳其、德國、法國、義大利、西班牙和中國在內的100多個國家，有數千次感染嘗試與被入侵的安裝程序有關。儘管感染範圍廣泛，但只有少數系統接收了高級後門有效載荷，這表明攻擊者採取了高度選擇性的目標策略。

後續惡意軟體在俄羅斯、白俄羅斯和泰國的零售、科研、政府、製造和教育等行業的組織中均有發現。其中一起已確認的QUIC RAT感染事件專門針對俄羅斯的一所教育機構。

這種選擇性部署強烈表明，此次攻擊活動旨在精準打擊目標，而非進行無差別的大規模感染。然而，研究人員尚未確定攻擊者的目的是進行網路間諜活動，還是以經濟利益為目的的「大型獵殺」式攻擊。

證據指向一名技術嫻熟的中文威脅行為者

儘管目前尚未有任何已知的威脅組織被正式認定與此次行動有關，但對惡意軟體樣本的取證分析表明，此次行動可能與一名講中文的攻擊者有關。這次入侵的複雜性，以及攻擊者能夠攻破透過官方供應商管道分發的簽章軟體，都顯示其擁有先進的攻擊能力和長期的行動計畫。

DAEMON Tools 的入侵事件是 2026 年上半年軟體供應鏈攻擊浪潮中的最新一起。在此之前，eScan（1 月）、Notepad++（2 月）和 CPUID（4 月）也曾遭受類似攻擊。

為什麼供應鏈攻擊如此危險

供應鏈漏洞仍然特別危險，因為它們利用了用戶對合法軟體供應商固有的信任。直接從官方網站下載並使用有效數位憑證簽署的應用程式很少會被使用者或安全產品視為可疑應用。

據報道，這次惡意活動持續近一個月未被發現，這不僅凸顯了攻擊者的複雜手段，也揭露了傳統邊界防禦措施的限制。安全專家強調，使用受影響的DAEMON Tools版本的組織應立即隔離受影響的系統，並進行全面的威脅搜尋行動，以識別企業網路內部可能存在的橫向移動或其他惡意活動。

供應商的回應和建議的緩解措施

AVB Disc Soft 表示，這次安全漏洞似乎僅限於該軟體的 Lite 版本，並確認正在進行調查，以確定事件的全部範圍和根本原因。

強烈建議在受影響時間段內下載或安裝了 DAEMON Tools Lite 版本 12.5.1 的用戶立即卸載該軟體，使用可信任的安全工具執行完整的防毒和終端安全掃描，然後僅重新安裝直接從 DAEMON Tools 官方網站取得的最新純淨版本。