Em um ataque sofisticado à cadeia de suprimentos descoberto no início de maio de 2026, o popular software de montagem de imagens de disco DAEMON Tools foi comprometido para entregar payloads maliciosos a usuários globalmente. Pesquisadores de segurança da Kaspersky identificaram que instaladores oficiais distribuídos a partir do site legítimo do DAEMON Tools foram trojanizados a partir de 8 de abril de 2026.
Esses instaladores comprometidos, abrangendo versões 12.5.0.2421 a 12.5.0.2434, são notavelmente assinados com certificados digitais válidos pertencentes ao desenvolvedor do software, AVB Disc Soft. Embora milhares de tentativas de infecção tenham sido registradas em mais de 100 países, os atores de ameaça demonstraram atividade altamente direcionada pós-comprometimento.
Sequência de ataque e backdoor embutido
A sequência de ataque começa com a execução de binários comprometidos específicos dentro do diretório de instalação do software, nomeadamente DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe. Sempre que esses arquivos são lançados durante a inicialização do sistema, um backdoor embutido no código de inicialização do C Runtime é ativado.
Este backdoor opera em um thread dedicado e inicia solicitações HTTP GET para um servidor malicioso de comando e controle projetado para typosquat o domínio legítimo. Registrado pouco mais de uma semana antes do início da campanha, este servidor responde com comandos de shell que utilizam PowerShell para baixar e executar o payload de primeira etapa.
Implante QUIC RAT e alvos de alto valor
Este payload inicial atua como um coletor de informações avançado, compilando dados extensivos de perfil do sistema como endereços MAC, nomes de host, processos em execução, software instalado e locais do sistema. Dados de telemetria indicam que os atores de ameaça filtraram o volume massivo de dados de perfil para selecionar alvos de alto valor para exploração subsequente.
De milhares de infecções iniciais, apenas cerca de uma dúzia de máquinas pertencentes a setores governamentais, científicos, de manufatura e varejo na Rússia, Bielorrússia e Tailândia receberam um payload secundário. Este segundo estágio é um backdoor minimalista implantado via carregador de shellcode que utiliza criptografia RC4 para executar o payload malicioso diretamente na memória.
Para os alvos mais valiosos, este backdoor minimalista abriu caminho para um implante ainda mais sofisticado denominado QUIC RAT. Identificado exclusivamente na rede de uma instituição educacional russa, o QUIC RAT é um backdoor C++ altamente ofuscado estáticamente vinculado à biblioteca WolfSSL.
Indicadores de comprometimento e mitigação
Para auxiliar na caça a ameaças e resposta a incidentes, as equipes de segurança devem monitorar ativamente o payload coletor de informações utilizando o hash SHA1 2d4eb55b01f59c62c6de9aacba9b47267d398fe4, e bloquear todas as comunicações de saída para o domínio typosquatted env-check.daemontools[.]cc, bem como o endereço IP hardcoded 38.180.107[.]76.
Organizações são fortemente aconselhadas a examinar qualquer endpoint executando DAEMON Tools para conexões de rede anômalas ou execuções de processo suspeitas originadas em ou após 8 de abril. Dado o aumento contínuo de compromissos de cadeia de suprimentos, as equipes de segurança devem aplicar rigorosamente arquiteturas de Zero Trust e implementar monitoramento abrangente de endpoint.
Comparação com ataques anteriores
O comprometimento do DAEMON Tools destaca uma escalada severa em ataques de cadeia de suprimentos de software durante a primeira metade de 2026. Seguindo brechas de alto perfil semelhantes envolvendo eScan em janeiro, Notepad++ em fevereiro e CPU-Z em abril, atores de ameaça avançados estão cada vez mais armamentizando aplicativos confiáveis para contornar defesas de perímetro tradicionais.