### Instaladores Comprometidos e Payload Malicioso De acordo com os pesquisadores da **Kaspersky** Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko e Anton Kargin, os instaladores trojanizados foram distribuídos a partir do site legítimo do **DAEMON Tools** e assinados com certificados digitais pertencentes aos desenvolvedores do software. As versões 12.5.0.2421 a 12.5.0.2434 foram identificadas como comprometidas. A **AVB Disc Soft**, desenvolvedora do **DAEMON Tools**, foi notificada sobre a violação. ### Componentes Adulterados Três componentes do **DAEMON Tools** foram adulterados: * DTHelper.exe * DiscSoftBusServiceLite.exe * DTShellHlp.exe Quando esses binários são executados, um implante é ativado, enviando uma requisição HTTP GET para um servidor externo (`env-check.daemontools[.]cc`) para receber um comando de shell. Este domínio foi registrado em 27 de março de 2026. ### Entrega de Payload em Múltiplas Etapas O comando de shell baixa e executa uma série de payloads, incluindo: * envchk.exe: Um executável .NET para coletar informações do sistema. * cdg.exe e cdg.tmp: Um carregador de shellcode que descriptografa e lança um backdoor minimalista. Este backdoor contata um servidor remoto para baixar arquivos, executar comandos de shell e executar payloads de shellcode na memória. ### Infecções Direcionadas A **Kaspersky** observou milhares de tentativas de infecção em mais de 100 países, incluindo Rússia, Brasil, Turquia, Espanha, Alemanha, França, Itália e China. No entanto, o backdoor de próxima etapa foi entregue apenas a uma dúzia de hosts, indicando uma abordagem direcionada. Os sistemas comprometidos pertencem a organizações de varejo, científicas, governamentais e de manufatura na Rússia, Belarus e Tailândia. Um dos payloads entregues é um trojan de acesso remoto (RAT) chamado **QUIC RAT**. Um implante em C++ também foi observado visando uma instituição educacional na Rússia. ### Capacidades Avançadas e Atribuição O malware suporta vários protocolos de comando e controle (C2), incluindo HTTP, UDP, TCP, WSS, QUIC, DNS e HTTP/3. Ele pode injetar payloads em processos legítimos como `notepad.exe` e `conhost.exe`. Embora a atividade não tenha sido atribuída a um ator de ameaça conhecido, evidências sugerem um adversário de língua chinesa. ### Tendência Crescente de Ataques à Cadeia de Suprimentos O comprometimento do **DAEMON Tools** é o mais recente em uma série de incidentes na cadeia de suprimentos de software em 2026, após violações envolvendo **eScan**, **Notepad++** e **CPUID**. "Um comprometimento dessa natureza contorna as defesas de perímetro tradicionais porque os usuários confiam implicitamente em software assinado digitalmente baixado diretamente de um fornecedor oficial", disse Kucherin, pesquisador sênior de segurança na **Kaspersky** GReAT. Ele acrescentou: "Dada a alta complexidade do comprometimento, é de suma importância que as organizações isolem máquinas com o software Daemon Tools instalado, bem como realizem varreduras de segurança para evitar a disseminação de atividades maliciosas dentro das redes corporativas."