Beveiligingsonderzoekers hebben onlangs bekendgemaakt dat de veelgebruikte virtuele optische-schijfsoftware DAEMON Tools te maken heeft gehad met een ernstige aanval op de toeleveringsketen. Het officiële installatieprogramma is sinds begin april 2026 voorzien van een achterdeur en wordt via formele kanalen verspreid, waardoor duizenden apparaten over de hele wereld worden getroffen. Volgens de onderzoeksresultaten van Kaspersky zijn de aanvallers het legitieme installatiepakket binnengedrongen en hebben ze kwaadaardige code in het officieel digitaal ondertekende binaire bestand geïnjecteerd, waardoor het kwaadaardige programma vermomd als een vertrouwde software-update kon worden afgeleverd.
Uit onderzoek blijkt dat deze aanvalsronde begon op 8 april 2026, waarbij meerdere versies van DAEMON Tools (12.5.0.2421 tot 12.5.0.2434) werden "vergiftigd" en de Het gemanipuleerde installatieprogramma werd rechtstreeks op de officiële website van de software gehost en ondertekend met een geldig digitaal certificaat van de ontwikkelaar AVB Disc Soft, waardoor de kans aanzienlijk groter werd dat gebruikers wantrouwden en werden misleid. Onderzoekers wezen erop dat de aanval begin mei nog steeds aan de gang was en dat de bijbehorende kwaadaardige infrastructuur nog steeds actief was.
Bij dit incident zijn meerdere uitvoerbare kernbestanden zoals DTHelper.exe, DiscSoftBusServiceLite.exe en DTShelHlp.exe gewijzigd en is verborgen achterdeurlogica toegevoegd. Zodra de software is geïnstalleerd, worden deze componenten automatisch uitgevoerd bij het opstarten van het systeem en brengen ze communicatie tot stand met externe command-and-control-servers (C2). De aanvaller registreerde en activeerde ook een domeinnaam die sterk leek op de officiële DAEMON Tools-sitenaam om kwaadaardig verkeer te vermommen als normaal toegangsgedrag; de domeinnaam werd pas een paar dagen vóór het begin van de aanval geregistreerd, wat aantoont dat de aanval zorgvuldig met voorbedachten rade was gepland.
Vanuit het perspectief van de aanvalslink vertoonde deze operatie een duidelijke gefaseerde structuur. Op de meeste apparaten van slachtoffers ontvangt het systeem eerst een informatiestelende initiële lading die wordt gebruikt om een verscheidenheid aan omgevingsgegevens te verzamelen, waaronder MAC-adres, hostnaam, lijst met geïnstalleerde software, actieve processen, netwerkconfiguratie en systeemtaal/regio-instellingen. Deze gegevens worden geüpload naar een server die wordt beheerd door de aanvaller en worden vermoedelijk gebruikt om de waarde van het geïnfecteerde systeem te profileren en te evalueren, waardoor wordt besloten of er in de toekomst tools van een hoger niveau moeten worden gelanceerd. Onderzoekers vonden ook enkele Chinese tekenreeksen in de payload, wat erop wijst dat de aanvaller mogelijk een Chinese gebruiker is, maar er is nog geen formele en duidelijke conclusie over de traceerbaarheid.
Hoewel er wereldwijd duizenden infectiepogingen zijn gedetecteerd, wordt slechts een klein aantal doelhosts daadwerkelijk geleverd met het kwaadaardige programma in de tweede fase. Deze "prioritaire doelstellingen" zijn meestal verbonden met brancheorganisaties zoals de overheid, productie, wetenschappelijk onderzoek en detailhandel. Deze beperkte levering en gerichte overbelastingsmethode laten zien dat dit geen simpele opportunistische aanval is, maar eerder een gerichte actie met de bedoeling om inlichtingen te verzamelen of strategische penetratie te bewerkstelligen.
Onder de bevestigde tools in de tweede fase vonden onderzoekers een minimalistische achterdeur die opdrachten kan uitvoeren, bestanden kan downloaden en kwaadaardige code rechtstreeks in het geheugen kan laden om op het slachtoffersysteem te draaien om landingssporen te verminderen. Bij ten minste één succesvolle inbreuk hebben de aanvallers ook een geavanceerd implantaat ingezet, genaamd QUIC RAT. Dit kwaadaardige programma ondersteunt meerdere communicatieprotocollen zoals HTTP, TCP, DNS, QUIC, enz., en kan zijn eigen kwaadaardige code injecteren in legitieme processen zoals notepad.exe, waardoor zijn activiteitensporen verder verborgen worden.
Telemetriegegevens laten zien dat gerelateerde infectiepogingen zijn waargenomen in meer dan 100 landen. Regio's met het grootste aantal getroffen systemen zijn onder meer Rusland, Brazilië, Turkije, Spanje, Duitsland, Frankrijk, Italië en China. Ongeveer 10% van de getroffen apparaten is eigendom van verschillende organisaties, en het grootste deel van de rest blijft alleen in de eerste fase van gegevensverzameling en ontvangt geen verdere tweede fase.
Kaspersky verklaarde dat zijn beveiligingsproducten deze aanval op meerdere aspecten kunnen detecteren en onderscheppen, waaronder het identificeren van verdacht PowerShell-gebaseerd downloadgedrag, kwaadaardige programma's die worden uitgevoerd vanuit tijdelijke mappen, activiteiten die code in legitieme processen injecteren en abnormale externe netwerkcommunicatiepatronen. De onderzoekers bevelen aan dat elke organisatie die DAEMON Tools na 8 april 2026 heeft geïnstalleerd, een uitgebreide audit van de relevante systemen moet uitvoeren, waarbij de nadruk ligt op het controleren op abnormale PowerShell-opdrachtregelactiviteiten en verdachte uitvoeringen die worden geactiveerd vanuit de tijdelijke directory. Tegelijkertijd moeten organisaties prioriteit geven aan de implementatie van een zero-trust beveiligingsarchitectuur, de uitvoerbare machtigingen van tijdelijke mappen beperken en de algehele beveiligingsveerkracht verbeteren via een gelaagde verdedigingsstrategie.
Dit incident met de toeleveringsketen van DAEMON Tools laat eens te meer zien dat aanvallers voortdurend hun aanvalsmethoden tegen de toeleveringsketen van software verbeteren, grootschalige distributie combineren met nauwkeurige aanvallen, en legale en betrouwbare software gebruiken als springplank om verschillende omgevingen binnen te dringen. Onder deze trend moeten zelfs veelgebruikte softwaretools die lange tijd als ‘beveiliging’ zijn beschouwd, worden beschouwd als potentiële bronnen van risico, en moeten organisaties voorzichtiger en proactievere beveiligingsstrategieën hanteren om de steeds complexere bedreigingen van de toeleveringsketen het hoofd te kunnen bieden.