### Instaladores Comprometidos y Payload Malicioso Según los investigadores de **Kaspersky**, Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko y Anton Kargin, los instaladores troyanizados se distribuyeron desde el sitio web legítimo de **DAEMON Tools** y se firmaron con certificados digitales pertenecientes a los desarrolladores del software. Las versiones 12.5.0.2421 a 12.5.0.2434 han sido identificadas como comprometidas. **AVB Disc Soft**, el desarrollador de **DAEMON Tools**, ha sido notificado de la brecha. ### Componentes Manipulados Tres componentes de **DAEMON Tools** fueron manipulados: * DTHelper.exe * DiscSoftBusServiceLite.exe * DTShellHlp.exe Cuando estos binarios se ejecutan, se activa un implante que envía una solicitud HTTP GET a un servidor externo (`env-check.daemontools[.]cc`) para recibir un comando de shell. Este dominio se registró el 27 de marzo de 2026. ### Entrega de Payload en Múltiples Etapas El comando de shell descarga y ejecuta una serie de payloads, que incluyen: * envchk.exe: Un ejecutable .NET para recopilar información del sistema. * cdg.exe y cdg.tmp: Un cargador de shellcode que descifra y lanza un backdoor minimalista. Este backdoor contacta a un servidor remoto para descargar archivos, ejecutar comandos de shell y ejecutar payloads de shellcode en memoria. ### Infecciones Dirigidas **Kaspersky** observó miles de intentos de infección en más de 100 países, incluyendo Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China. Sin embargo, el backdoor de siguiente etapa solo se entregó a una docena de hosts, lo que indica un enfoque dirigido. Los sistemas comprometidos pertenecen a organizaciones minoristas, científicas, gubernamentales y manufactureras en Rusia, Bielorrusia y Tailandia. Uno de los payloads entregados es un troyano de acceso remoto (RAT) llamado **QUIC RAT**. También se observó un implante C++ dirigido a una institución educativa en Rusia. ### Capacidades Avanzadas y Atribución El malware admite varios protocolos de comando y control (C2), incluyendo HTTP, UDP, TCP, WSS, QUIC, DNS y HTTP/3. Puede inyectar payloads en procesos legítimos como `notepad.exe` y `conhost.exe`. Si bien la actividad no se ha atribuido a un actor de amenazas conocido, la evidencia sugiere un adversario de habla china. ### Creciente Tendencia de Ataques a la Cadena de Suministro El compromiso de **DAEMON Tools** es el último de una serie de incidentes de cadena de suministro de software en 2026, tras brechas que involucraron a **eScan**, **Notepad++** y **CPUID**. "Un compromiso de esta naturaleza elude las defensas perimetrales tradicionales porque los usuarios confían implícitamente en el software firmado digitalmente descargado directamente de un proveedor oficial", dijo Kucherin, investigador de seguridad senior en **Kaspersky** GReAT. Agregó: "Dada la alta complejidad del compromiso, es de suma importancia que las organizaciones aíslen las máquinas con el software Daemon Tools instalado, así como que realicen barridos de seguridad para prevenir una mayor propagación de actividades maliciosas dentro de las redes corporativas."