{"id":29178,"date":"2026-05-05T06:50:53","date_gmt":"2026-05-05T12:50:53","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=29178"},"modified":"2026-05-05T11:11:37","modified_gmt":"2026-05-05T17:11:37","slug":"daemon-tools-supply-chain-attack","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/29178\/","title":{"rendered":"Ataque a la cadena de suministro mediante DAEMON Tools"},"content":{"rendered":"<p data-start=\"128\" data-end=\"294\">Nuestros expertos descubrieron un ataque a la cadena de suministro a gran escala que involucra a <strong data-start=\"225\" data-end=\"241\">DAEMON Tools<\/strong>, un software utilizado para emular unidades \u00f3pticas. Los atacantes lograron inyectar c\u00f3digo malicioso en los instaladores del programa. Adem\u00e1s, todos los archivos ejecutables comprometidos estaban firmados con una firma digital v\u00e1lida de <strong data-start=\"481\" data-end=\"498\">AVB Disc Soft<\/strong>, el desarrollador de DAEMON Tools, lo que hac\u00eda que el software pareciera leg\u00edtimo. La versi\u00f3n maliciosa del programa est\u00e1 circulando desde el <strong data-start=\"643\" data-end=\"665\">8 de abril de 2026<\/strong> y, al momento de redactar este texto, el ataque contin\u00faa activo. Los investigadores de Kaspersky consideran que se trata de un ataque dirigido.<\/p>\n<h2>Cu\u00e1les son los riesgos de instalar la versi\u00f3n maliciosa\u00a0de DAEMON Tools?<\/h2>\n<p>Una vez que la <strong data-start=\"904\" data-end=\"941\">versi\u00f3n comprometida del software<\/strong> se instala en el equipo de la v\u00edctima, se ejecuta un archivo malicioso cada vez que inicia el sistema. Este archivo env\u00eda una solicitud a un servidor de comando y control, desde donde los atacantes pueden ordenar la descarga y ejecuci\u00f3n de nuevas cargas maliciosas.<\/p>\n<p>En primer lugar, los atacantes despliegan un recolector de informaci\u00f3n que recopila la direcci\u00f3n MAC, el nombre de host, el nombre de dominio DNS, las listas de procesos en ejecuci\u00f3n y del software instalado, y la configuraci\u00f3n de idioma. A continuaci\u00f3n, el malware env\u00eda esta informaci\u00f3n al servidor de comando y control.<\/p>\n<p>En algunos casos, en respuesta a la informaci\u00f3n recopilada, el servidor de comando env\u00eda una puerta trasera minimalista a la m\u00e1quina de la v\u00edctima. Es capaz de descargar cargas \u00fatiles maliciosas adicionales, ejecutar comandos de shell y ejecutar m\u00f3dulos de shellcode en memoria.<\/p>\n<p>La puerta trasera puede utilizarse para desplegar un implante m\u00e1s sofisticado denominado QUIC RAT. Es compatible con varios protocolos de comunicaci\u00f3n con el servidor de comando y control y es capaz de inyectar cargas \u00fatiles maliciosas en los procesos notepad.exe y conhost.exe.<\/p>\n<p>La informaci\u00f3n t\u00e9cnica completa, junto con los indicadores de compromiso, est\u00e1 disponible en el art\u00edculo publicado por los expertos de Kaspersky, en <a href=\"https:\/\/securelist.com\/tr\/daemon-tools-backdoor\/119654\/\" target=\"_blank\" rel=\"noopener\">el art\u00edculo de los expertos en el blog Securelist<\/a>.<\/p>\n<h2>\u00bfA qui\u00e9nes se dirige el ataque?<\/h2>\n<p>Desde principios de abril se han detectado varios miles de intentos de instalar cargas \u00fatiles maliciosas adicionales a trav\u00e9s del software DAEMON Tools infectado. La mayor\u00eda de los dispositivos infectados pertenec\u00edan a usuarios dom\u00e9sticos, pero aproximadamente el 10% de los intentos de instalaci\u00f3n se detectaron en sistemas que operan en organizaciones. Geogr\u00e1ficamente, las v\u00edctimas se distribuyeron por alrededor de un centenar de pa\u00edses y territorios. La mayor\u00eda de las v\u00edctimas se encontraban en Rusia, Brasil, Turqu\u00eda, Espa\u00f1a, Alemania, Francia, Italia y China.<\/p>\n<p>Con mayor frecuencia, el ataque se limit\u00f3 a la instalaci\u00f3n de un recolector de informaci\u00f3n. La puerta trasera infect\u00f3 solo una docena de equipos en organismos gubernamentales, instituciones cient\u00edficas y organizaciones manufactureras, as\u00ed como en comercios minoristas de Rusia, Bielorrusia y Tailandia.<\/p>\n<h2>Qu\u00e9 se infect\u00f3 exactamente<\/h2>\n<p>El c\u00f3digo malicioso se detect\u00f3 en las versiones de DAEMON Tools que van de la 12.5.0.2421 a la 12.5.0.2434. Los atacantes comprometieron los archivos DTHelper.exe, DiscSoftBusServiceLite.exe y DTShellHlp.exe, que se instalan en el directorio principal de DAEMON Tools.<\/p>\n<h2>\u00bfC\u00f3mo mantenerse protegido?<\/h2>\n<p>Si se utiliza el software DAEMON Tools en su equipo (o en cualquier otro lugar de su organizaci\u00f3n), nuestros expertos recomiendan revisar minuciosamente los equipos en los que est\u00e1 instalado en busca de cualquier actividad inusual a partir del 8 de abril.<\/p>\n<p>Adem\u00e1s, recomendamos utilizar soluciones de seguridad confiables en todos los equipos\u00a0 para <a href=\"https:\/\/latam.kaspersky.com\/premium?icid=es-LA_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">el hogar<\/a> y <a href=\"https:\/\/latam.kaspersky.com\/next?icid=es-la_kdailyplacehold_acq_ona_smm__onl_b2b_kdaily_wpplaceholder_sm-team___knext____1d42b04bb235d08d\" target=\"_blank\" rel=\"noopener\">corporativos<\/a> que se usen para acceder a internet. Nuestras soluciones protegen con \u00e9xito a los usuarios de todo el malware utilizado en el ataque a la cadena de suministro a trav\u00e9s de DAEMON Tools.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kaspersky-next\">\n","protected":false},"excerpt":{"rendered":"<p>Un ataque dirigido a la cadena de suministro mediante un software popular para montar im\u00e1genes de disco.<\/p>\n","protected":false},"author":2706,"featured_media":29179,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[5884,34,2352],"class_list":{"0":"post-29178","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ataque-a-la-cadena-de-suministro","11":"tag-malware-2","12":"tag-rat"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/29178\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/daemon-tools-supply-chain-attack\/30691\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/25743\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/13373\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/daemon-tools-supply-chain-attack\/30542\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/daemon-tools-supply-chain-attack\/32085\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/daemon-tools-supply-chain-attack\/30639\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/daemon-tools-supply-chain-attack\/41798\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/daemon-tools-supply-chain-attack\/14496\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/55691\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/daemon-tools-supply-chain-attack\/23879\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/daemon-tools-supply-chain-attack\/24956\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/daemon-tools-supply-chain-attack\/33451\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/daemon-tools-supply-chain-attack\/30625\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/daemon-tools-supply-chain-attack\/36200\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/daemon-tools-supply-chain-attack\/36093\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ataque-a-la-cadena-de-suministro\/","name":"ataque a la cadena de suministro"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/29178","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=29178"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/29178\/revisions"}],"predecessor-version":[{"id":29183,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/29178\/revisions\/29183"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/29179"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=29178"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=29178"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=29178"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}