Supply-Chain-Angriff auf DAEMON Tools: Offizielle Installer mit Malware verseucht

Zusammenfassung

Sicherheitsforscher von Kaspersky haben einen laufenden Supply-Chain-Angriff auf die Software DAEMON Tools aufgedeckt. Manipulierte Installationsdateien werden demnach über die legitime Website des Herstellers verbreitet und sind mit gültigen digitalen Zertifikaten der DAEMON-Tools-Entwickler signiert – Nutzer haben also keinen erkennbaren Anlass, an ihrer Echtheit zu zweifeln. Seit dem 8. April 2026 sind die Installer trojanisiert; betroffen sind nach Angaben der Forscher die Versionen 12.5.0.2421 bis 12.5.0.2434. Der Angriff ist zum Zeitpunkt der Veröffentlichung weiterhin aktiv. AVB Disc Soft, der Entwickler der Software, wurde über den Vorfall informiert. Manipuliert wurden drei verschiedene Komponenten von DAEMON Tools. Wird eine dieser Binärdateien gestartet – typischerweise beim Systemstart –, aktiviert sich auf dem kompromittierten Rechner ein Implantat. Es sendet eine HTTP-GET-Anfrage an einen externen Server unter „env-check.daemontools[.]cc", eine am 27. März 2026 registrierte Domain, und erhält von dort einen Shell-Befehl, der über den Prozess „cmd.exe" ausgeführt wird. Über diesen Befehl werden weitere ausführbare Schadprogramme nachgeladen und gestartet.

Nach Kasperskys Telemetrie gab es mehrere tausend Infektionsversuche im Zusammenhang mit DAEMON Tools, die Privatpersonen und Organisationen in mehr als 100 Ländern betrafen, darunter Russland, Brasilien, die Türkei, Spanien, Deutschland, Frankreich, Italien und China. Die eigentliche Hintertür der nächsten Stufe gelangte jedoch nur auf rund ein Dutzend Rechner – ein deutliches Indiz für ein gezieltes Vorgehen.

Die Systeme, die die Folge-Schadsoftware erhielten, ordnet Kaspersky Organisationen aus den Bereichen Handel, Wissenschaft, Verwaltung und Fertigung in Russland, Belarus und Thailand zu. Eine der über die Hintertür verteilten Komponenten ist ein Fernzugriffstrojaner namens QUIC RAT. Der Einsatz dieses in C++ geschriebenen Implantats wurde bislang nur bei einem einzigen Opfer beobachtet: einer Bildungseinrichtung in Russland.

„Diese Art, die Hintertür nur auf einer kleinen Teilmenge der infizierten Maschinen auszubringen, zeigt klar, dass der Angreifer die Infektion gezielt durchführen wollte", erklärte Kaspersky. Ob es dabei um Cyberspionage oder um „Big Game Hunting" gehe, also die Jagd auf besonders lohnende Ziele, sei derzeit unklar.

Die Schadsoftware unterstützt eine Reihe von Command-and-Control-Protokollen, darunter HTTP, UDP, TCP, WSS, QUIC, DNS und HTTP/3. Außerdem kann sie ihre Schadlast in die legitimen Prozesse „notepad.exe" und „conhost.exe" einschleusen.

Eine Zuordnung zu einer bekannten Angreifergruppe gibt es nicht. Die Analyse der beobachteten Artefakte deutet den Forschern zufolge jedoch auf einen chinesischsprachigen Akteur hin.

Der Vorfall bei DAEMON Tools reiht sich in eine wachsende Liste von Software-Supply-Chain-Angriffen im ersten Halbjahr 2026 ein und folgt auf vergleichbare Fälle bei eScan im Januar, Notepad++ im Februar und CPUID im April.

„Eine Kompromittierung dieser Art umgeht klassische Perimeter-Abwehr, weil Nutzer digital signierter Software, die sie direkt vom offiziellen Anbieter herunterladen, implizit vertrauen", sagte Georgy Kucherin, Senior Security Researcher bei Kaspersky GReAT. Dadurch sei der Angriff etwa einen Monat lang unentdeckt geblieben – ein Hinweis darauf, dass der Akteur dahinter versiert sei und über fortgeschrittene Angriffsfähigkeiten verfüge. Angesichts der hohen Komplexität sei es für Organisationen entscheidend, Rechner mit installierter DAEMON-Tools-Software zu isolieren und Sicherheitsprüfungen durchzuführen, um eine weitere Ausbreitung in Unternehmensnetzen zu verhindern.

Supply-Chain-Angriff auf DAEMON Tools: Offizielle Installer mit Malware verseucht

Ähnliche Artikel

Neueste Artikel