SOC Prime Bias: Crítico

07 May 2026 18:54
newspaper icon The Hacker News

El ataque a la cadena de suministro de DAEMON Tools compromete los instaladores oficiales con malware

Author Photo
Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime linkedin icon Seguir
El ataque a la cadena de suministro de DAEMON Tools compromete los instaladores oficiales con malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Un compromiso de la cadena de suministro afectó a los instaladores de DAEMON Tools Lite desde las versiones 12.5.0.2421 hasta 12.5.0.2434. Los instaladores manipulados ejecutaron un cargador malicioso que se conectó a infraestructura remota, descargó cargas adicionales, y finalmente desplegó tanto una puerta trasera como un RAT basado en QUIC. La campaña desencadenó miles de intentos de infección en más de 100 países, mientras que una operación de segunda fase más limitada fue dirigida a un grupo más reducido de víctimas seleccionadas.

Investigación

Los investigadores de Kaspersky identificaron tres binarios modificados — DTHelper.exe, DiscSoftBusServiceLite.exe, y DTShellHlp.exe — que contactaban un dominio malicioso y ejecutaban comandos a través de cmd.exe. Las cargas adicionales incluían envchk.exe, cdg.exe, y cdg.tmp, los cuales se utilizaron para cargar una puerta trasera ligera y el RAT QUIC. La telemetría vinculó la actividad con organizaciones en el sector minorista, de investigación científica, gubernamental y de manufactura.

Mitigación

AVB Disc Soft lanzó una versión limpia, la 12.6.0.2445, y recomendó a los usuarios afectados eliminar las versiones Lite comprometidas, realizar análisis completos del sistema y actualizar de inmediato. Las organizaciones deben aislar los puntos finales con DAEMON Tools instalado, verificar la integridad de los instaladores firmados y monitorizar los binarios maliciosos conocidos y el tráfico de red relacionado.

Respuesta

Los defensores deben buscar los tres ejecutables comprometidos, vigilar las solicitudes HTTP salientes a env-check.daemontools.cc, y bloquear la ejecución de cargas inesperadas como envchk.exe and cdg.exe. Las reglas de detección en los puntos finales también deben actualizarse para identificar el comportamiento de la puerta trasera, y cualquier sistema infectado debe ser puesto en cuarentena sin demora.

"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ffccff classDef tool fill:#cccccc %% Node definitions initial_access_supply_chain["<b>Acceso Inicial</b> – <b>T1553.002 Subvertir Controles de Confianza: Firma de Código</b><br/>El adversario comprometió el instalador de DAEMON Tools Lite y lo firmó con un certificado legítimo."] class initial_access_supply_chain action technique_compromise_binary["<b>Técnica</b> – <b>T1554 Compromiso de Binario de Software del Host</b><br/>Se distribuyeron binarios troyanizados DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe."] class technique_compromise_binary technique persistence_autostart["<b>Persistencia</b> – <b>T1547 Arranque o Ejecución Automática al Inicio de Sesión</b><br/>Binarios maliciosos configurados para ejecutarse al inicio del sistema a través de mecanismos de inicio automático."] class persistence_autostart action persistence_startup_items["<b>Técnica</b> – <b>T1037.005 Scripts de Inicialización de Arranque o Inicio de Sesión: Elementos de Inicio</b><br/>Instalados como elementos de inicio."] class persistence_startup_items technique persistence_software_ext["<b>Técnica</b> – <b>T1176 Extensiones de Software</b><br/>Se utilizaron extensiones de software para la persistencia."] class persistence_software_ext technique execution_c2_resolution["<b>Ejecución</b> – <b>T1568 Resolución Dinámica</b><br/>El implante contacta envu2011check.daemontools.cc a través de HTTP GET para obtener comandos."] class execution_c2_resolution action execution_cmd["<b>Técnica</b> – <b>T1059.003 Intérprete de Comandos y Scripts: Shell de Comandos de Windows</b><br/>Comandos ejecutados usando cmd.exe."] class execution_cmd technique execution_indirect["<b>Técnica</b> – <b>T1202 Ejecución Indirecta de Comandos</b><br/>Comandos ejecutados indirectamente a través de otros procesos."] class execution_indirect technique execution_payload_download["<b>Técnica</b> – <b>T1204.003 Ejecución por Usuario: Imagen Maliciosa</b><br/>Cargas adicionales envchk.exe, cdg.exe, cdg.tmp descargadas."] class execution_payload_download technique defense_process_hollowing["<b>Evasión de Defensa</b> – <b>T1055.012 Inyección de Procesos: Vaciamiento de Procesos</b><br/>La puerta trasera inyecta código en notepad.exe, conhost.exe."] class defense_process_hollowing technique defense_reflective_loading["<b>Técnica</b> – <b>T1620 Carga de Código Reflectante</b><br/>Utiliza carga reflectante para ejecutar código en memoria."] class defense_reflective_loading technique defense_junk_code["<b>Técnica</b> – <b>T1027.016 Archivos u Información Ofuscados: Inserción de Código Basura</b><br/>Emplea código basura para evadir análisis."] class defense_junk_code technique c2_multi_stage["<b>Comando y Control</b> – <b>T1104 Canales Multietapa</b><br/>Usa canales multietapa para recuperar cargas adicionales."] class c2_multi_stage action c2_quic_rat["<b>Malware</b> – <b>T1219 Herramientas de Acceso Remoto</b><br/>Deja caer QUIC RAT proporcionando acceso remoto interactivo."] class c2_quic_rat malware lateral_taint_shared["<b>Movimiento Lateral</b> – <b>T1080 Contenido de Red Compartido</b><br/>La puerta trasera contamina contenido compartido para extenderse lateralmente."] class lateral_taint_shared action %% Connections initial_access_supply_chain –>|usa| technique_compromise_binary technique_compromise_binary –>|habilita| persistence_autostart persistence_autostart –>|incluye| persistence_startup_items persistence_autostart –>|incluye| persistence_software_ext persistence_startup_items –>|conduce a| execution_c2_resolution persistence_software_ext –>|conduce a| execution_c2_resolution execution_c2_resolution –>|dispara| execution_cmd execution_cmd –>|usa| execution_indirect execution_cmd –>|descarga| execution_payload_download execution_payload_download –>|proporciona| defense_process_hollowing defense_process_hollowing –>|utiliza| defense_reflective_loading defense_process_hollowing –>|utiliza| defense_junk_code defense_reflective_loading –>|soporta| c2_multi_stage defense_junk_code –>|soporta| c2_multi_stage c2_multi_stage –>|entrega| c2_quic_rat c2_quic_rat –>|habilita| lateral_taint_shared "

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: El Chequeo Preliminar de Telemetría y Línea Base debe concluir exitosamente.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y narrativas DEBEN reflejar directamente los TTPs identificados y tener como objetivo generar la telemetría exacta que espera la lógica de detección.

  • Narrativa del Ataque y Comandos:
    Un atacante que ha comprometido la cadena de suministro de DAEMON Tools planta una copia maliciosa de calc.exe renombrado a DTHelper.exe en una ubicación que se lanzará al inicio del sistema (por ejemplo, la llave HKLMSoftwareMicrosoftWindowsCurrentVersionRun ). Para el propósito de la prueba, simulamos la ejecución inmediata del binario para generar el evento de creación de proceso exacto que observa la regla.

    Pasos:

    1. Copie un ejecutable benigno (calc.exe) a C:TempDTHelper.exe.
    2. Registre el binario en la clave de registro Run para emular la “ejecución de inicio”.
    3. Fuerce al sistema a ejecutar la entrada Run (o invoque directamente el binario).

  • Script de Prueba de Regresión:

    # -------------------------------------------------------------
# Script de simulación para la ejecución de inicio troyana de DAEMON Tools
# -------------------------------------------------------------
$tempPath = "C:TempDTHelper.exe"
$runKey  = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
$runName = "DAEMONHelper"

# 1. Despliegue el ejecutable de apariencia maliciosa (usando calc.exe como marcador de posición)
Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force

# 2. Regístrelo para ejecución automática al inicio de sesión (emula persistencia)
New-ItemProperty -Path $runKey -Name $runName -Value $tempPath -PropertyType String -Force

# 3. Ejecución inmediata para propósitos de prueba
Start-Process -FilePath $tempPath

# Salida de un marcador para verificación de prueba
Write-Host "`n[+] Ejecutado DTHelper.exe y creado la entrada Run."

  • Comandos de Limpieza:

    # -------------------------------------------------------------
# Limpieza para la simulación de DAEMON Tools
# -------------------------------------------------------------
$tempPath = "C:TempDTHelper.exe"
$runKey  = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
$runName = "DAEMONHelper"

# Eliminar la entrada de registro Run
Remove-ItemProperty -Path $runKey -Name $runName -ErrorAction SilentlyContinue

# Detener el proceso si aún está en ejecución
Get-Process -Name "DTHelper" -ErrorAction SilentlyContinue | Stop-Process -Force

# Eliminar el ejecutable copiado
Remove-Item -Path $tempPath -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Limpieza completa."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis