Nach Angaben von Kaspersky manipulierten die Angreifer die Installer von Daemon Tools und schleusten Backdoors in zentrale Softwarekomponenten ein, die beim Systemstart automatisch ausgeführt werden. Betroffen sind die Versionen 12.5.0.2421 bis 12.5.0.2434. Die schädlichen Varianten wurden über die offizielle Website des Programms ausgeliefert und erstmals Anfang April registriert.
Die Forscher beschreiben die Operation als gezielt. Der Großteil der Opfer erhielt nur einen einfachen Informationssammler, der Systemdaten erfassen sollte. Eine zweite, aufwendigere Schadkomponente kam dagegen nur bei einer Handvoll Ziele zum Einsatz, darunter Organisationen aus den Bereichen Regierung, Wissenschaft, Fertigung und Handel in Russland, Belarus und Thailand.
Laut Kaspersky diente die anfängliche Datensammlung vermutlich dazu, infizierte Systeme zu profilieren, bevor selektiv anspruchsvollere Schadsoftware ausgerollt wurde. Zu den identifizierten Werkzeugen zählte eine schlanke Backdoor, über die ein komplexeres Implantat mit dem Namen Quic RAT nachgeladen wurde. Diese Schadsoftware wurde nur gegen ein einziges bekanntes Ziel eingesetzt – eine nicht näher genannte Bildungseinrichtung in Russland.
Die Kampagne begann den Angaben zufolge um den 8. April und ist weiterhin aktiv. Seither verzeichnete Kaspersky tausende Infektionsversuche.
Der lettische Entwickler Disc Soft, der Daemon Tools produziert, teilte mit, man sei über die Erkenntnisse informiert und untersuche den Vorfall.
Kaspersky zufolge enthielt der Schadcode chinesischsprachige Elemente, was auf chinesischsprachige Angreifer hindeutet. Eine Zuordnung zu einer bestimmten Gruppe nahmen die Forscher jedoch nicht vor.