### 改ざんされたインストーラーと悪意のあるペイロード **Kaspersky**の研究者であるIgor Kuznetsov、Georgy Kucherin、Leonid Bezvershenko、Anton Karginによると、トロイの木馬化されたインストーラーは、正規の**DAEMON Tools**ウェブサイトから配布され、ソフトウェア開発者に属するデジタル証明書で署名されていました。バージョン12.5.0.2421から12.5.0.2434が侵害されたものとして特定されています。 **DAEMON Tools**の開発元である**AVB Disc Soft**は、この侵害について通知を受けています。 ### 改ざんされたコンポーネント **DAEMON Tools**の3つのコンポーネントが改ざんされていました。 * DTHelper.exe * DiscSoftBusServiceLite.exe * DTShellHlp.exe これらのバイナリが起動されると、インプラントがアクティブ化され、外部サーバー（`env-check.daemontools[.]cc`）にHTTP GETリクエストを送信してシェルコマンドを受信します。このドメインは2026年3月27日に登録されました。 ### マルチステージのペイロード配信 シェルコマンドは、一連のペイロードをダウンロードして実行します。これには以下が含まれます。 * envchk.exe: システム情報を収集するための.NET実行可能ファイル。 * cdg.exeおよびcdg.tmp: ミニマリストなバックドアを復号化して起動するシェルコードローダー。 このバックドアはリモートサーバーと通信し、ファイルのダウンロード、シェルコマンドの実行、およびメモリ内でのシェルコードペイロードの実行を行います。 ### 標的型感染 **Kaspersky**は、ロシア、ブラジル、トルコ、スペイン、ドイツ、フランス、イタリア、中国など、100カ国以上で数千件の感染試行を観測しました。しかし、次のステージのバックドアはわずか十数ホストにのみ配信されており、標的型アプローチを示唆しています。 侵害されたシステムは、ロシア、ベラルーシ、タイの小売、科学、政府、製造業の組織に属していました。配信されたペイロードの1つは、**QUIC RAT**と呼ばれるリモートアクセス型トロイの木馬（RAT）です。ロシアの教育機関を標的としたC++インプラントも観測されました。 ### 高度な機能と帰属 このマルウェアは、HTTP、UDP、TCP、WSS、QUIC、DNS、HTTP/3を含むさまざまなコマンド＆コントロール（C2）プロトコルをサポートしています。`notepad.exe`や`conhost.exe`のような正規のプロセスにペイロードをインジェクトできます。 この活動は既知の脅威アクターに帰属されていませんが、証拠は中国語話者の攻撃者を示唆しています。 ### サプライチェーン攻撃の増加傾向 **DAEMON Tools**の侵害は、2026年のソフトウェアサプライチェーンインシデントの最新のものであり、**eScan**、**Notepad++**、**CPUID**の侵害に続くものです。 **Kaspersky** GReATのシニアセキュリティリサーチャーであるKucherin氏は、「この種の侵害は、ユーザーが公式ベンダーから直接ダウンロードしたデジタル署名付きソフトウェアを暗黙的に信頼するため、従来の境界防御を回避します」と述べています。 さらに、「この侵害の複雑さを考慮すると、Daemon Toolsソフトウェアがインストールされているマシンを隔離し、企業ネットワーク内での悪意のある活動のさらなる拡散を防ぐためにセキュリティスキャンを実施することが、組織にとって最重要事項です」と付け加えています。