Το Daemon Tools μολύνθηκε με backdoor σε supply-chain attack ενός μήνα — χιλιάδες μηχανές σε 100+ χώρες

Η Kaspersky αποκάλυψε στις 5 Μαΐου 2026 ότι το Daemon Tools — το δημοφιλές λογισμικό προσάρτησης εικόνων δίσκου για Windows — είχε μολυνθεί με backdoor μέσω supply-chain attack που παρέμεινε ενεργό για σχεδόν έναν ολόκληρο μήνα. Οι ερευνητές εντόπισαν ότι τα installers του Daemon Tools διανέμονταν από την επίσημη ιστοσελίδα του λογισμικού υπογεγραμμένα με ψηφιακά πιστοποιητικά που ανήκουν στους developers του.

Ποιες εκδόσεις επηρεάζονται

Τα installers έχουν εντοπιστεί ως trojanized από τις 8 Απριλίου 2026, με τις εκδόσεις 12.5.0.2421 έως 12.5.0.2434 να έχουν επιβεβαιωθεί ως μολυσμένες. Αξίζει να σημειωθεί ότι μόνο η έκδοση Windows επηρεάστηκε — το Daemon Tools για Mac παραμένει ανεπηρέαστο. Σύμφωνα με δήλωση της AVB Disc Soft, το πρόβλημα περιορίστηκε στην δωρεάν έκδοση Daemon Tools Lite και δεν επηρέασε άλλα προϊόντα της εταιρείας.

Οι επιτιθέμενοι παραβίασαν τρία βασικά binaries του λογισμικού: DTHelper.exe, DiscSoftBusServiceLite.exe και DTShellHlp.exe, όλα υπογεγραμμένα με πιστοποιητικά της AVB Disc Soft. Επειδή το λογισμικό προσομοίωσης δίσκων απαιτεί low-level πρόσβαση στο σύστημα, οι χρήστες εκχωρούν συνήθως αυξημένα διαχειριστικά δικαιώματα κατά την εγκατάσταση — κάτι που επέτρεψε στο malware να εδραιώσει βαθιά παρουσία στο λειτουργικό σύστημα.

Πώς λειτουργεί η μόλυνση

Μετά την εγκατάσταση του trojanized λογισμικού, ένα κακόβουλο αρχείο εκτελείται κάθε φορά που ξεκινά το σύστημα, αποστέλλοντας αίτημα σε server που ελέγχουν οι επιτιθέμενοι. Ο server μπορεί να απαντήσει με εντολή λήψης και εκτέλεσης επιπλέον κακόβουλων payloads.

Στο πρώτο στάδιο, οι επιτιθέμενοι αναπτύσσουν έναν information gatherer που συλλέγει τη MAC address, το hostname, το DNS domain name, λίστες εκτελούμενων διαδικασιών και εγκατεστημένου λογισμικού, καθώς και ρυθμίσεις γλώσσας, τα οποία αποστέλλει στον C2 server. Σε επιλεγμένες περιπτώσεις, ο server αποστέλλει ένα minimalistic backdoor στο μηχάνημα-στόχο.

Το backdoor παρατηρήθηκε να αποστέλλει αιτήματα σε ένα typosquatting domain που είχε καταχωρηθεί στις 27 Μαρτίου. Η προεγγραφή του domain δύο εβδομάδες πριν την έναρξη της επίθεσης υποδηλώνει σχεδιασμένη, μακροπρόθεσμη εκστρατεία.

QUIC RAT: το προχωρημένο implant

Οι ερευνητές διαπίστωσαν ότι το minimalistic backdoor χρησιμοποιήθηκε για την ανάπτυξη ενός πολυπλοκότερου implant, το οποίο ονόμασαν QUIC RAT. Ενώ το minimalistic backdoor αναπτύχθηκε σε περίπου δώδεκα μηχανήματα, το QUIC RAT εντοπίστηκε να χρησιμοποιείται αποκλειστικά εναντίον ενός εκπαιδευτικού ιδρύματος στη Ρωσία.

Το QUIC RAT είναι γραμμένο σε C++, αποκρύπτεται με control flow flattening και είναι statically linked με τη βιβλιοθήκη WolfSSL. Συμπεριλαμβάνει επίσης το σώμα της νόμιμης βιβλιοθήκης msquic.dll στο τμήμα .data του. Υποστηρίζει πλήθος πρωτοκόλλων επικοινωνίας C2, μεταξύ των οποίων HTTP, UDP, TCP, WSS, QUIC, DNS και HTTP/3. Η ανάλυσή του βρίσκεται σε εξέλιξη, αλλά έχει ήδη επιβεβαιωθεί ότι μπορεί να εισάγει payloads στις διαδικασίες notepad.exe και conhost.exe.

Κλίμακα και στόχοι

Από τις αρχές Απριλίου, εντοπίστηκαν αρκετές χιλιάδες προσπάθειες εγκατάστασης επιπλέον κακόβουλων payloads μέσω του μολυσμένου λογισμικού. Η πλειονότητα των μολυσμένων συστημάτων ανήκει σε οικιακούς χρήστες, ωστόσο περίπου το 10% των απόπειρων εντοπίστηκε σε εταιρικά συστήματα. Γεωγραφικά, τα θύματα εκτείνονται σε περίπου εκατό χώρες και εδάφη, με τη μεγαλύτερη συγκέντρωση στη Ρωσία, Βραζιλία, Τουρκία, Ισπανία, Γερμανία, Γαλλία, Ιταλία και Κίνα.

Μόνο περίπου δώδεκα συστήματα κυβερνητικών, επιστημονικών, βιομηχανικών και εμπορικών οργανισμών στη Λευκορωσία, τη Ρωσία και την Ταϊλάνδη μολύνθηκαν με το πλήρες backdoor — ένδειξη ότι η επίθεση είχε στοχευμένο χαρακτήρα. «Αυτός ο τρόπος ανάπτυξης του backdoor σε ένα μικρό υποσύνολο μολυσμένων μηχανών δείχνει ξεκάθαρα ότι ο επιτιθέμενος είχε πρόθεση να διεξάγει τη μόλυνση με στοχευμένο τρόπο. Ωστόσο, η πρόθεσή τους — αν πρόκειται για κυβερνοκατασκοπεία ή "big game hunting" — παραμένει αδιευκρίνιστη», αναφέρει η Kaspersky.

Attribution και ευρύτερο πλαίσιο

Η Kaspersky δεν αποδίδει την επίθεση σε συγκεκριμένο threat actor, αλλά βάσει strings που εντοπίστηκαν στο first-stage payload, οι ερευνητές πιστεύουν ότι ο επιτιθέμενος είναι κινεζόφωνος.

Αξίζει να επισημανθεί ότι η ορατότητα της Kaspersky στην επίθεση έχει γεωγραφικούς περιορισμούς: το λογισμικό της έχει απαγορευτεί στον δημόσιο και ιδιωτικό τομέα των ΗΠΑ, καθώς και σε κυβερνητικές χρήσεις αρκετών δυτικών χωρών — πράγμα που σημαίνει ότι ένα σημαντικό τμήμα των εν δυνάμει πληγέντων συστημάτων δεν εμφανίζεται στη telemetry της.

Η υπόθεση Daemon Tools είναι η τέταρτη supply-chain παραβίαση που έχει ερευνήσει η Kaspersky μόνο μέσα στο 2026, μετά τις υποθέσεις eScan, Notepad++ και CPU-Z. Έρευνα της Kaspersky που δημοσιεύθηκε τον Μάρτιο του 2026 ανέδειξε ότι οι supply-chain επιθέσεις ήταν η συχνότερη κυβερνοαπειλή που αντιμετώπισαν επιχειρήσεις το προηγούμενο δωδεκάμηνο — παρόλα αυτά μόλις το 9% των οργανισμών τις κατατάσσει στις κορυφαίες ανησυχίες τους.

Τι πρέπει να κάνετε τώρα

Η ενημερωμένη έκδοση 12.6.0.2445 δεν περιλαμβάνει πλέον την κακόβουλη συμπεριφορά που περιγράφεται στην έκθεση. Οι οργανισμοί καλούνται να διενεργήσουν audit σε συστήματα όπου το Daemon Tools ήταν εγκατεστημένο μετά τις 8 Απριλίου 2026. Τα εργαλεία ασφαλείας της Kaspersky αναφέρεται ότι εντοπίζουν την κακόβουλη δραστηριότητα σε πολλαπλά στάδια, συμπεριλαμβανομένων ύποπτων λήψεων μέσω PowerShell, εκτέλεσης malware από προσωρινούς φακέλους, code injection σε νόμιμες διαδικασίες και ασυνήθιστης εξερχόμενης κίνησης δικτύου.

«Μια παραβίαση αυτού του είδους παρακάμπτει τις παραδοσιακές άμυνες perimeter επειδή οι χρήστες εμπιστεύονται ανεπιφύλακτα το ψηφιακά υπογεγραμμένο λογισμικό που κατεβαίνει απευθείας από τον επίσημο vendor», δήλωσε ο Georgy Kucherin, senior security researcher στην Kaspersky GReAT.

Πηγές

• Ars Technica — Widely used Daemon Tools disk app backdoored in monthlong supply-chain attack
• Kaspersky Securelist — Popular DAEMON Tools software compromised
• Kaspersky Blog — Supply chain attack via DAEMON Tools
• The Hacker News — DAEMON Tools Supply Chain Attack Compromises Official Installers
• BleepingComputer — DAEMON Tools trojanized in supply-chain attack to deploy backdoor