### Kompromittierte Installer und bösartiger Payload Laut den Forschern von **Kaspersky**, Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko und Anton Kargin, wurden die trojanisierten Installer von der legitimen **DAEMON Tools**-Website verteilt und mit digitalen Zertifikaten signiert, die den Softwareentwicklern gehören. Die Versionen 12.5.0.2421 bis 12.5.0.2434 wurden als kompromittiert identifiziert. **AVB Disc Soft**, der Entwickler von **DAEMON Tools**, wurde über den Vorfall informiert. ### Manipulierte Komponenten Drei Komponenten von **DAEMON Tools** wurden manipuliert: * DTHelper.exe * DiscSoftBusServiceLite.exe * DTShellHlp.exe Wenn diese Binärdateien gestartet werden, wird ein Implantat aktiviert, das eine HTTP GET-Anfrage an einen externen Server (`env-check.daemontools[.]cc`) sendet, um einen Shell-Befehl zu empfangen. Diese Domain wurde am 27. März 2026 registriert. ### Mehrstufige Payload-Auslieferung Der Shell-Befehl lädt eine Reihe von Payloads herunter und führt sie aus, darunter: * envchk.exe: Eine .NET-Executable zum Sammeln von Systeminformationen. * cdg.exe und cdg.tmp: Ein Shellcode-Loader, der einen minimalistischen Backdoor entschlüsselt und startet. Dieser Backdoor kontaktiert einen Remote-Server, um Dateien herunterzuladen, Shell-Befehle auszuführen und Shellcode-Payloads im Speicher auszuführen. ### Gezielte Infektionen **Kaspersky** beobachtete Tausende von Infektionsversuchen in über 100 Ländern, darunter Russland, Brasilien, Türkei, Spanien, Deutschland, Frankreich, Italien und China. Allerdings wurde der Backdoor der nächsten Stufe nur an ein Dutzend Hosts ausgeliefert, was auf einen gezielten Ansatz hindeutet. Die kompromittierten Systeme gehören zu Einzelhandels-, Wissenschafts-, Regierungs- und Fertigungsorganisationen in Russland, Belarus und Thailand. Eine der ausgelieferten Payloads ist ein Remote-Access-Trojaner (RAT) namens **QUIC RAT**. Ein C++-Implantat wurde ebenfalls beobachtet, das auf eine Bildungseinrichtung in Russland abzielte. ### Erweiterte Fähigkeiten und Attribution Die Malware unterstützt verschiedene Command-and-Control (C2)-Protokolle, darunter HTTP, UDP, TCP, WSS, QUIC, DNS und HTTP/3. Sie kann Payloads in legitime Prozesse wie `notepad.exe` und `conhost.exe` injizieren. Obwohl die Aktivität keinem bekannten Bedrohungsakteur zugeordnet wurde, deuten Beweise auf einen chinesischsprachigen Angreifer hin. ### Wachsender Trend von Lieferkettenangriffen Der Kompromittierung von **DAEMON Tools** ist der jüngste in einer Reihe von Software-Lieferkettenvorfällen im Jahr 2026, nach den Sicherheitsverletzungen bei **eScan**, **Notepad++** und **CPUID**. "Eine Kompromittierung dieser Art umgeht traditionelle Perimeter-Verteidigungen, da Nutzer digital signierter Software, die direkt von einem offiziellen Anbieter heruntergeladen wurde, implizit vertrauen", sagte Kucherin, Senior Security Researcher bei **Kaspersky** GReAT. Er fügte hinzu: "Angesichts der hohen Komplexität der Kompromittierung ist es daher von größter Bedeutung, dass Organisationen Maschinen mit installierter Daemon Tools-Software isolieren und Sicherheitsüberprüfungen durchführen, um eine weitere Ausbreitung bösartiger Aktivitäten innerhalb von Unternehmensnetzwerken zu verhindern."