El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha identificado un ataque activo a la cadena de suministro que afecta a la página web oficial de Daemon Tools, un software ampliamente utilizado para la emulación de unidades virtuales. El instalador comprometido distribuye malware junto con la aplicación legítima, lo que permite a los ciberdelincuentes ejecutar comandos y tomar el control remoto de los dispositivos infectados.

Durante un reciente análisis de telemetría, los analistas detectaron que, desde abril de 2026, los actores de amenazas han estado distribuyendo activamente versiones modificadas del software directamente desde el dominio oficial del proveedor. El malware se ocultaba mediante un certificado digital válido del desarrollador, lo que dificultaba su detección. La amenaza afecta a la versión 12.5.0.2421 de Daemon Tools y posteriores. Kaspersky ya ha notificado a AVB Disc Soft, desarrollador del software, para que se puedan tomar las medidas de remediación adecuadas.

Dado que el disco de software de emulación requiere acceso de bajo nivel al sistema para funcionar correctamente, los usuarios suelen conceder permisos de administrador durante la instalación. Esto permite al malware obtener un acceso profundo al sistema operativo y comprometer gravemente la seguridad del dispositivo. En este caso, los ciberdelincuentes modificaron archivos legítimos para ejecutar código malicioso al iniciar el programa y utilizaron servicios de Windows para mantener la persistencia en el sistema.

Los datos de Kaspersky muestran que la distribución del software comprometido ha sido global, con presencia en más de 100 países. La mayoría de las víctimas se concentran en Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China.

El análisis revela que el 10% de los sistemas afectados pertenecen a empresas y organizaciones. Aunque Daemon Tools es una herramienta habitual en entornos domésticos, su uso en entornos corporativos puede suponer un riesgo significativo para la seguridad de las redes empresariales.

En un número reducido de casos, en concreto en algo más de diez equipos pertenecientes a organizaciones de los sectores minorista, científico, gubernamental y manufactura los expertos de Kaspersky observaron ataques dirigidos en los que se desplegaron herramientas adicionales, como inyectores de código y troyanos de acceso remoto desconocidos hasta ahora. El perfil de estos objetivos y ciertas inconsistencias en los comandos utilizados apuntan a acciones manuales sobre sistemas concretos. Aunque se han detectado elementos en chino en el código malicioso, por el momento no se ha atribuido la campaña a ningún grupo conocido.

“Un ataque de este tipo logra sortear las defensas tradicionales porque los usuarios confían en el software firmado digitalmente que descargan desde una fuente oficial. Esto ha permitido que la ciberamenaza haya pasado desapercibida durante cerca de un mes, lo que indica un alto nivel de sofisticación por parte de los ciberdelincuentes. Dada la complejidad del ataque, es fundamental que las organizaciones aíslen los equipos en los que esté instalado Daemon Tools y realicen revisiones de seguridad para evitar la propagación dentro de la red.” afirmó Georgy Kucherin, investigador senior en Kaspersky GReAT

Kaspersky detecta y bloquea activamente los instaladores comprometidos. Los analistas recomiendan a las organizaciones auditar sus redes para identificar la presencia de Daemon Tools Lite, aislar los equipos afectados y monitorizar posibles ejecuciones de comandos no autorizados o movimientos laterales dentro de la red.