La mayoría de las víctimas de este ataque que distribuye malware tipo backdoor, son empresas de los sectores minorista, manufacturero, científico y gubernamental de Rusia, Brasil, Colombia, Chile, Turquía, España, Alemania, Francia, Italia y China.
El equipo de Investigación y Análisis Global de Kaspersky (GReAT) descubrió un ataque activo a la cadena de suministro dirigido al sitio web oficial de Daemon Tools, un software ampliamente utilizado para la emulación de unidades virtuales. Durante un reciente estudio de telemetría, los investigadores identificaron que los atacantes han distribuido activamente el software modificado directamente a través del dominio principal del proveedor desde el 8 de abril de 2026, ocultando con éxito el malware mediante un certificado digital de desarrollador válido.
La inyección maliciosa afecta a Daemon Tools desde la versión 12.5.0.2421 hasta la versión actual. Kaspersky ya notificó a AVB Disc Soft, desarrollador de Daemon Tools, para que se puedan tomar las medidas de remediación correspondientes.
Dado que el software de emulación de discos requiere acceso de bajo nivel al sistema para funcionar correctamente, los usuarios suelen otorgar privilegios administrativos elevados a la aplicación durante la instalación. Este mecanismo permite que el malware incrustado establezca una presencia profunda en el sistema operativo anfitrión, comprometiendo gravemente la integridad del dispositivo. En concreto, los atacantes manipularon binarios legítimos de la aplicación para ejecutar código malicioso al inicio del proceso y aprovecharon un servicio legítimo de Windows para mantener la persistencia en el sistema.
La telemetría de Kaspersky indica una distribución global y amplia de las actualizaciones comprometidas en más de 100 países y territorios. La mayoría de las víctimas se encuentran en Rusia, Brasil, Colombia, Chile, Turquía, España, Alemania, Francia, Italia y China.
El análisis muestra que el 10% de los sistemas afectados pertenecen a empresas y organizaciones. Si bien Daemon Tools tiene una amplia adopción entre los usuarios particulares, su presencia en entornos corporativos expone a las redes empresariales a graves riesgos.
En un subconjunto reducido de poco más de diez máquinas — pertenecientes a organizaciones de los sectores minorista, científico, gubernamental y manufacturero —, Kaspersky GReAT observó que los atacantes desplegaban manualmente cargas adicionales, incluido un inyector de shellcode y troyanos de acceso remoto (RAT) previamente desconocidos. El perfil sectorial reducido de estas víctimas, junto con los errores tipográficos e inconsistencias en los comandos ejecutados, indica que la actividad posterior se realiza de forma manual contra objetivos específicamente seleccionados. Aunque los investigadores identificaron artefactos en idioma chino dentro de los implantes maliciosos, la campaña no se atribuye actualmente a ningún actor de amenazas conocido.
“Un compromiso de esta naturaleza elude las defensas perimetrales tradicionales, ya que los usuarios confían implícitamente en el software firmado digitalmente descargado directamente de un proveedor oficial”, afirmó Georgy Kucherin, investigador senior en Kaspersky GReAT. “Por este motivo, el ataque a Daemon Tools ha pasado desapercibido durante aproximadamente un mes. Este lapso de tiempo indica, a su vez, que el actor de amenazas detrás de la campaña es sofisticado y cuenta con capacidades ofensivas avanzadas. Dada la alta complejidad del compromiso, resulta de suma importancia que las organizaciones aíslen las máquinas con el software Daemon Tools instalado y realicen análisis de seguridad para evitar la propagación de actividades maliciosas dentro de las redes corporativas.”
Kaspersky detecta y bloquea activamente la ejecución de los instaladores comprometidos. Los investigadores recomiendan a las organizaciones auditar sus redes en busca de la presencia de Daemon Tools Lite, aislar los endpoints afectados y monitorear la ejecución de comandos no autorizados o el movimiento lateral. Los usuarios particulares deben desinstalar de inmediato la aplicación comprometida y ejecutar un análisis exhaustivo del sistema para eliminar cualquier amenaza persistente.
En marzo de 2026, un estudio de Kaspersky reveló que los ataques a la cadena de suministro fueron la ciberamenaza más común que enfrentaron las empresas durante los 12 meses anteriores; sin embargo, solo el 9% de las organizaciones los considera una preocupación prioritaria.
Para mitigar los riesgos asociados con los ataques a la cadena de suministro de software, Kaspersky recomienda a las organizaciones adoptar las siguientes medidas de seguridad:
- Auditar la cadena de suministro de software: antes de autorizar aplicaciones de terceros en entornos corporativos, evaluar el historial de seguridad del proveedor, revisar sus datos de divulgación de vulnerabilidades y verificar su cumplimiento con los estándares de seguridad de la industria.
- Aplicar protocolos estrictos de adquisición: exigir auditorías de seguridad periódicas para todo el software desplegado y garantizar que cualquier herramienta utilizada por los empleados cumpla con las políticas internas de seguridad y los requisitos de notificación de incidentes de la organización.
- Restringir los privilegios administrativos: implementar marcos preventivos, como el principio de mínimo privilegio y la arquitectura zero-trust. Limitar los derechos de acceso de los usuarios reduce significativamente el radio de impacto potencial en caso de que una aplicación de confianza se vea comprometida e intente ejecutar comandos no autorizados.
- Desplegar monitoreo continuo de la infraestructura: Kaspersky recomienda utilizar soluciones de Detección y Respuesta Extendidas (XDR), como las de la línea Kaspersky Next. Estas herramientas proporcionan monitoreo en tiempo real para identificar anomalías en el tráfico de red o acciones no autorizadas originadas en software de confianza implícita.
- Actualizar los manuales de respuesta a incidentes: asegurar que las estrategias de seguridad organizacionales contemplen explícitamente las brechas en la cadena de suministro. Los manuales deben incluir pasos predefinidos para identificar, contener y desconectar rápidamente las aplicaciones de terceros comprometidas de los sistemas internos.
Lea el estudio completo en Securelist.com.
