DAEMON Tools: installer ufficiali erano trojan da aprile

DAEMON Tools: installer ufficiali erano trojan da aprile

Gli installer ufficiali di DAEMON Tools Lite per Windows sono stati trojanizzati a partire dall'8 aprile 2026 per distribuire malware multi-stadio. I file compromessi, tra cui DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe, erano firmati digitalmente con certificati validi di AVB Disc Soft e scaricabili dal sito legittimo del vendor. Per quasi un mese, prima del rilascio della versione 12.6.0.2445 il 5 maggio 2026, gli utenti hanno installato un software che violava implicitamente il rapporto di fiducia con l'editore, aggirando le difese perimetrali tradizionali.

Come è entrato il backdoor: i tre eseguibili compromessi

I ricercatori di Kaspersky hanno rilevato che i binari DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe presenti negli installer ufficiali contenevano codice malevolo inserito direttamente nella routine di inizializzazione CRT. Al riavvio del sistema, il payload contattava il dominio env-check.daemontools[.]cc, registrato il 27 marzo 2026 secondo i dati WHOIS. Kaspersky ha confermato che "These installers are distributed from the legitimate website of DAEMON Tools and are signed with digital certificates belonging to DAEMON Tools developers". Non è noto con precisione come gli attaccanti siano riusciti a compromettere la catena di distribuzione del vendor.

La catena d'infezione: dal collettore di informazioni all'implant QUIC

Il malware opera secondo uno schema multi-stadio. Il primo componente, envchk.exe, è un info-collector .NET che raccoglie il MAC address, l'hostname, il DNS domain name, i processi attivi, il software installato e le impostazioni di lingua della macchina infetta. Questi dati permettono agli attaccanti di profilare la vittima e decidere se procedere con il secondo stadio. Solo in circa una dozzina di casi è stato distribuito cdg.exe, una backdoor RC4 che apre la strada all'accesso remoto persistente.

L'arma più sofisticata, un implant QUIC RAT, è stata osservata solo contro un'unica vittima, un'istituzione educativa russa. Questo strumento supporta comunicazioni su HTTP, UDP, TCP, WSS, QUIC, DNS e HTTP/3, ed è capace di iniettare payload nei processi legittimi notepad.exe e conhost.exe. La scelta di protocolli moderni come QUIC complica il rilevamento basato su firewall e sistemi di prevenzione delle intrusioni tradizionali.

IoC pubblicati da Kaspersky confermano che l'intera catena si attiva senza richiedere interazione da parte dell'utente oltre all'installazione iniziale del software apparentemente lecito. Una volta eseguito l'installer trojanizzato, il codice malevolo si integra nel flusso di avvio del sistema e stabilisce la persistenza attraverso servizi legittimi di DAEMON Tools, rendendo la sua presenza indistinguibile dal comportamento normale dell'applicazione.

Selettività chirurgica: una dozzina di bersagli su migliaia di infezioni

Le ricerche di Kaspersky hanno rilevato migliaia di tentativi di installazione in oltre 100 paesi e territori, con circa il 90% di utenti privati e il rimanente 10% su sistemi aziendali. Nonostante la diffusione di massa, il backdoor avanzato è stato consegnato solo a una dozzina di organizzazioni, selezionate tra enti governativi, istituti scientifici, realtà manifatturiere e di retail in Russia, Bielorussia e Thailandia. Kaspersky ha sottolineato che "This manner of deploying the backdoor to a small subset of infected machines clearly indicates that the attacker had intentions to conduct the infection in a targeted manner".

La geografia delle vittime di secondo stadio e la tipologia di settore colpito — governo, ricerca e industria — suggeriscono una raccolta di informazioni di alto valore, anche se l'obiettivo finale dell'operazione non è stato determinato con certezza. La quasi totalità delle infezioni, invece, è rimasta allo stadio di raccolta dati iniziale, funzionando da copertura per il traffico verso i veri obiettivi.

"A compromise of this nature bypasses traditional perimeter defenses because users implicitly trust digitally signed software downloaded directly from an official vendor" — Georgy Kucherin, Kaspersky GReAT

Il crollo della fiducia implicita: quando il certificato non basta più

Georgy Kucherin, ricercatore del Global Research and Analysis Team di Kaspersky, ha messo in luce il paradosso al centro dell'operazione. Secondo l'esperto, "A compromise of this nature bypasses traditional perimeter defenses because users implicitly trust digitally signed software downloaded directly from an official vendor". La compromissione dimostra che un certificato valido non garantisce più l'integrità del codice se la pipeline di distribuzione è violata. Le difese tradizionali, che si affidano alla firma come indicatore primario di affidabilità, devono essere integrate con monitoraggio comportamentale e analisi di rete per rilevare anomalie post-installazione.

Cosa fare adesso

• Isolare immediatamente i sistemi su cui è stata installata una versione di DAEMON Tools Lite compresa tra la 12.5.0.2421 e la 12.5.0.2434 nel periodo compreso tra l'8 aprile e il 5 maggio 2026, verificando la presenza di comunicazioni sospette verso il dominio env-check.daemontools[.]cc nei log di rete.
• Aggiornare il software alla versione 12.6.0.2445 rilasciata dal vendor il 5 maggio 2026, rimuovendo preventivamente le installazioni precedenti e effettuando una scansione approfondita del sistema.
• Effettuare analisi forense sui processi notepad.exe e conhost.exe nei sistemi potenzialmente esposti, dato che l'implant QUIC RAT ha la capacità di iniettare payload in questi eseguibili legittimi di Windows.
• Trattare con cautela la dichiarazione del vendor secondo cui solo la versione Lite gratuita sarebbe interessata, poiché Kaspersky non ha verificato indipendentemente l'immunità delle edizioni Pro o Ultra e il meccanismo di compromissione rimane sconosciuto.

Chi c'è dietro e cosa si sa dell'attacco

Nel codice del malware sono stati identificati artefatti linguistici compatibili con il cinese, ma i ricercatori non hanno formulato attribuzioni definitive a un gruppo APT noto. L'obiettivo ultimo dell'operazione resta ignoto: non è stato confermato se si tratti di cyberespionaggio, big game hunting o altre finalità. Analogamente, non è chiaro se il server di comando e controllo sia ancora attivo e sotto il controllo degli attaccanti. L'assenza di patch retroattive per le versioni compromesse rende la bonifica manuale l'unica opzione praticabile per chi ha eseguito gli installer trojanizzati.

Il caso segnala un'evoluzione preoccupante nel panorama delle minacce persistenti avanzate: la capacità di sfruttare la fiducia istituzionale riposta nei vendor software per ospitare payload dormienti su scala globale. La selezione chirurgica delle vittime di secondo stadio, operata tra milioni di potenziali obiettivi, dimostra che la massima pericolosità non sta nella diffusione, ma nella capacità di restare invisibili tra i software quotidiani. Le organizzazioni devono abbandonare la presunzione che firma digitale e sito ufficiale siano sufficienti a escludere il rischio, e costruire una verifica continua che parta dall'assunzione di compromissione.

Domande frequenti

Le versioni a pagamento di DAEMON Tools sono sicure?

AVB Disc Soft ha dichiarato che "The issue was limited to the free DAEMON Tools Lite version and did not affect any of our other products". Tuttavia, Kaspersky non ha verificato indipendentemente l'immunità delle edizioni Pro o Ultra, e il meccanismo di compromissione della pipeline non è stato reso pubblico. Si raccomanda cautela e verifica autonoma.

È possibile che il malware sia ancora attivo sui sistemi infetti?

Non è noto se il server di comando e controllo env-check.daemontools[.]cc sia ancora attivo e gestito dagli attaccanti. I sistemi compromessi potrebbero comunque ospitare residui persistiti o backdoor silenziose; è indispensabile procedere a una bonifica completa anziché limitarsi alla disinstallazione.

Perché l'attacco è rimasto attivo per quasi un mese senza essere scoperto?

I file erano distribuiti dal sito ufficiale e firmati con certificati digitali validi, due indicatori su cui le difese tradizionali e gli utenti fondano implicitamente la propria fiducia. Questa condizione ha reso l'anomalia tecnicamente invisibile ai controlli perimetrali standard fino all'analisi condotta da Kaspersky.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.kaspersky.com/blog/daemon-tools-supply-chain-attack/55691/
• https://thehackernews.com/2026/05/daemon-tools-supply-chain-attack.html
• https://securelist.com/tr/daemon-tools-backdoor/119654/