Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
DAEMON Tools Hackerato: installer ufficiali firmati diffondono backdoor globale
Un attacco alla supply chain ha colpito DAEMON Tools compromettendo gli installer ufficiali distribuiti dal sito legittimo. Il punto più critico è che i pacchetti risultano firmati digitalmente con certificati riconducibili agli sviluppatori, un dettaglio che aumenta la fiducia degli utenti e rende più difficile individuare la minaccia con i controlli tradizionali.
La compromissione è stata osservata a partire dall’8 aprile 2026 e riguarda versioni comprese tra 12.5.0.2421 e 12.5.0.2434. In base alle analisi disponibili, il problema interessa la versione Windows del software.
La manomissione coinvolge tre componenti eseguibili: DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe. Quando uno di questi binari viene avviato, spesso durante lo startup del sistema, si attiva un impianto malevolo sul dispositivo. Il comportamento iniziale prevede una richiesta HTTP GET verso un dominio esterno env-check.daemontools.cc registrato a fine marzo 2026, con lo scopo di ricevere un comando da eseguire tramite cmd.exe. Questo passaggio consente agli attaccanti di controllare in modo flessibile la fase successiva, scaricando ed eseguendo altri payload.
Tra i file scaricati compare envchk.exe, un eseguibile .NET progettato per raccogliere informazioni estese sul sistema, utile per profilare la vittima e decidere se procedere con ulteriori azioni. Seguono cdg.exe e cdg.tmp, dove il primo agisce da loader di shellcode e decritta il secondo per avviare una backdoor minimale. Questa backdoor permette di scaricare file, eseguire comandi remoti e lanciare shellcode direttamente in memoria, riducendo le tracce su disco.
La telemetria ha rilevato diverse migliaia di tentativi di infezione in oltre 100 paesi, inclusi Italia, Germania, Francia, Spagna, Brasile, Turchia, Russia e Cina. Tuttavia la backdoor di secondo livello è stata consegnata solo a un numero ridotto di host, segnale di una campagna mirata. I bersagli includono organizzazioni retail, scientifiche, governative e manifatturiere in vari paesi. Tra i payload finali è stato identificato anche un remote access trojan chiamato QUIC RAT. La minaccia supporta molteplici protocolli di comando e controllo, tra cui HTTP, UDP, TCP, WSS, QUIC, DNS e HTTP/3, e può iniettare codice in processi legittimi come notepad.exe e conhost.exe.
Questo tipo di attacco supply chain può bypassare le difese perimetrali perché sfrutta software firmato e scaricato da canali ufficiali. In ambito aziendale diventa essenziale isolare le macchine con DAEMON Tools installato, avviare controlli di sicurezza approfonditi e verificare l’integrità degli installer e dei binari presenti sui sistemi.