Populaire Daemon Tools gekaapt in supply chain-aanval

dinsdag, 5 mei 2026 (13:40) - Techzine

In dit artikel:

Daemon Tools — een populair hulpprogramma voor het emuleren van schijven — is uitgebuit in een supply chain-aanval waarbij besmette installatiebestanden sinds 8 april rechtstreeks vanaf de officiële website werden aangeboden. Kaspersky’s Global Research and Analysis Team (GReAT) vond de manipulatie, informeerde ontwikkelaar AVB Disc Soft en blokkeert de getroffen installers actief.

De geïnfecteerde builds betreffen versies 12.5.0.2421 tot en met 12.5.0.2434. Drie kernbinaire bestanden (DTHelper.exe, DiscSoftBusServiceLite.exe en DTShellHlp.exe) zijn aangepast, waardoor bij elke systeemstart een achterdeur met remote access-mogelijkheden wordt geactiveerd. Omdat de software vaak met verhoogde beheerdersrechten draait, krijgt de malware diepgaande toegang tot het systeem. Als command-and-control-server fungeert een typosquatting-domein (env-check.daemontools[.]cc) dat kort voor de aanval is geregistreerd.

Kaspersky-telemetrie registreerde duizenden pogingen in meer dan 100 landen; circa 10% van de getroffen hosts behoort tot bedrijven. De meeste slachtoffers kregen een informatieverzamelende payload die hardware- en softwarespecificaties, actieve processen en netwerkgegevens verzamelt. Op ruim tien systemen in Rusland, Wit-Rusland en Thailand — in sectoren als detailhandel, wetenschap, overheid en productie — implementeerden aanvallers handmatig geavanceerdere tools: een shellcode-injector en nieuw ontdekte RAT’s, waarvan QUIC RAT het meest gebruikt werd (ondersteuning voor HTTP/3, QUIC, DNS, TCP, UDP).

Hoewel er Chinese artefacten in de malware zijn gevonden, heeft Kaspersky geen definitieve attributie gedaan. De zaak illustreert de groeiende golf van supply chain-aanvallen; Kaspersky noemde dit al de vierde dergelijke campagne die het in 2026 onderzocht (na eScan, Notepad++ en CPU-Z) en wijst op een sterke stijging van kwaadaardige packages eind 2025.

Aanbeveling: systemen met Daemon Tools geïnstalleerd sinds 8 april isoleren en controleren op afwijkend gedrag; individuele gebruikers deapplicatie verwijderen en een volledige systeemscan uitvoeren.