Het virtual drive-hulpprogramma Daemon Tools wordt misbruikt in een supply chain-aanval. Verrassend genoeg worden geïnfecteerde installers al sinds 8 april rechtstreeks vanaf de officiële website van de leverancier verspreid. Deze software installeert een backdoor met mogelijkheden voor remote access. De compromis bleef bijna een maand lang onopgemerkt.
Het Global Research and Analysis Team (GReAT) van Kaspersky heeft de supply chain-aanval op de officiële website van Daemon Tools ontdekt. AVB Disc Soft, de ontwikkelaar van Daemon Tools, is op de hoogte gebracht en Kaspersky blokkeert de gecompromitteerde installatieprogramma’s actief.
De kwaadaardige injectie treft Daemon Tools-versies 12.5.0.2421 tot en met 12.5.0.2434. Drie kernbinaire bestanden (DTHelper.exe, DiscSoftBusServiceLite.exe en DTShellHlp.exe) zijn gemanipuleerd, waardoor bij elke opstart van de machine een achterdeur wordt geactiveerd. Omdat schijfemulatiesoftware routinematig verhoogde beheerdersrechten krijgt, krijgt de malware een stevige voet aan de grond binnen het besturingssysteem van de host. Een typosquatting-domein (env-check.daemontools[.]cc) dat slechts een week voor de aanval werd geregistreerd, fungeert als de command-and-control-server.
Wereldwijd bereik, gerichte follow-up
De telemetrie van Kaspersky registreerde duizenden infectiepogingen in meer dan 100 landen. Tien procent van de getroffen systemen behoort toe aan bedrijven. De meeste ontvingen alleen een payload voor het verzamelen van informatie, die het systeem in kaart brengt door het verzamelen van MAC-adres, hostnaam, actieve processen, geïnstalleerde software en locale.
Op meer dan een tiental apparaten in Rusland, Wit-Rusland en Thailand, die toebehoren aan organisaties in de detailhandel, de wetenschap, de overheid en de productiesector, hebben aanvallers handmatig een shellcode-injector en voorheen onbekende RAT’s geïmplementeerd. De meest gebruikte hiervan, QUIC RAT genaamd, ondersteunt communicatie via HTTP, UDP, TCP, QUIC, DNS en HTTP/3. Er komen Chinese artefacten voor in deze malware, maar Kaspersky heeft de campagne niet toegeschreven aan een bekende aanvaller.
Onderdeel van een bredere golf
“Een compromittering van deze aard omzeilt traditionele perimeterverdedigingen omdat gebruikers impliciet vertrouwen hebben in digitaal ondertekende software die rechtstreeks van een officiële leverancier is gedownload”, aldus Georgy Kucherin, senior securityonderzoeker bij Kaspersky GReAT. Kaspersky trekt een directe parallel met de 3CX-aanval op de software supply chain in 2023, die eveneens ongeveer een maand lang onopgemerkt bleef.
Het Daemon Tools-incident is de vierde supply chain-aanval die Kaspersky alleen al in 2026 heeft onderzocht, na eScan, Notepad++ en CPU-Z. Uit telemetriegegevens van Kaspersky bleek dat er eind 2025 bijna 19.500 kwaadaardige packages in open-sourceprojecten waren aangetroffen, een stijging van 37 procent ten opzichte van het jaar ervoor. Aanvallen op de supply chain staan nu bovenaan de lijst van meest voorkomende cyberdreigingen waarmee bedrijven de afgelopen twaalf maanden te maken hebben gehad. Gezien de enorme toename van het aantal aanvallen lijkt het erop dat cybercriminelen zich ook volledig bewust zijn van het immense potentieel van supply chain-aanvallen.
Organisaties wordt aangeraden om vanaf 8 april computers waarop Daemon Tools is geïnstalleerd te isoleren en te controleren op abnormale activiteiten. Individuele gebruikers moeten de applicatie verwijderen en een volledige systeemscan uitvoeren.