Los especialistas de Kaspersky GReAT han descubierto código malicioso en los instaladores oficiales del programa DAEMON Tools. Según los investigadores, el ataque a la cadena de suministro continuó desde el 8 de abril de 2026, y las versiones infectadas se distribuyeron directamente a través del sitio web del desarrollador.
El problema afectó a las versiones de DAEMON Tools desde la 12.5.0.2421 hasta la 12.5.0.2434. Después de la instalación, el programa podía conectar un backdoor oculto al sistema, comunicarse con el servidor de comando y control de los atacantes y descargar módulos maliciosos adicionales.
El escenario principal del ataque parecía ser la recopilación de información sobre el dispositivo. Sin embargo, en algunos casos, los atacantes desplegaron un backdoor QUIC RAT más sofisticado, capaz de cargar archivos, ejecutar código e inyectarse en los procesos del sistema. Según Kaspersky, este malware se utilizó contra un número limitado de objetivos, incluida una organización educativa en Russia.
En total, los especialistas registraron miles de intentos de infección en más de 100 países. Entre los afectados se encontraban tanto usuarios comunes como empresas. La mayoría de los casos se detectaron en Russia, Brazil, Turkey, Spain, Germany, France, Italy y China.
Los investigadores consideran que el ataque fue dirigido: aunque las infecciones fueron masivas, las herramientas maliciosas más sofisticadas solo se instalaron en una pequeña parte de los dispositivos, principalmente en organizaciones de los sectores científico, gubernamental, manufacturero y minorista.
Tras la notificación de Kaspersky, la empresa AVB Disc Soft confirmó el problema y lanzó una actualización de DAEMON Tools 12.6.0.2445, en la que se eliminó la funcionalidad maliciosa.
Los expertos recomiendan desinstalar las versiones antiguas del programa, verificar el sistema en busca de actividad sospechosa y realizar una auditoría de seguridad, especialmente si DAEMON Tools se instaló después del 8 de abril. Para las empresas, también se aconseja aislar los dispositivos potencialmente infectados.
Kaspersky señala que este no es el primer incidente de este tipo en 2026: anteriormente, eScan, Notepad++ y CPU-Z fueron objeto de ataques a través de la cadena de suministro. Según los investigadores, los atacantes utilizan cada vez más software popular y de confianza como una forma de penetración masiva en los sistemas.
Leer más sobre este tema:
- Hackers roban más de mil millones de rublos de usuarios rusos del intercambio de criptomonedas Grinex
- Hackers atacaron empresas de construcción de aviones rusas a través de cartas falsas de estructuras estatales
- Los smartphones con Snapdragon son vulnerables: "Laboratorio Kaspersky" encontró una forma de piratearlos a través del chip