DAEMON Tools Lieferkettenangriff
Cybersicherheitsforscher haben einen ausgeklügelten Lieferkettenangriff aufgedeckt, der Installationsprogramme von DAEMON Tools betraf. Angreifer kompromittierten erfolgreich offizielle Windows-Installationsprogramme, die über die legitime Website von DAEMON Tools vertrieben wurden, und schleusten Schadcode in digital signierte Softwarepakete ein. Da die Installationsprogramme über authentische Entwicklerzertifikate verfügten, wirkte die Schadsoftware vertrauenswürdig und konnte herkömmliche Sicherheitsvorkehrungen problemlos umgehen.
Die betroffenen Installationsversionen reichten von 12.5.0.2421 bis 12.5.0.2434. Die schädlichen Aktivitäten ließen sich bis zum 8. April 2026 zurückverfolgen. Betroffen war ausschließlich die Windows-Version der Software; die Mac-Version blieb unberührt. Nach Bekanntwerden des Vorfalls veröffentlichte der Entwickler AVB Disc Soft die Version 12.6.0.2445, die die schädlichen Funktionen entfernt und die Sicherheitslücke schließt.
Inhaltsverzeichnis
Schadkomponenten, die in legitimen Prozessen versteckt sind
Die Ermittler stellten fest, dass die Angreifer drei kritische Komponenten von DAEMON Tools verändert hatten:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Immer wenn eine dieser Binärdateien gestartet wurde, typischerweise beim Systemstart, aktivierte sie ein verstecktes Implantat auf dem infizierten Rechner. Dieses Implantat kommunizierte mit einer externen Domain, env-check.daemontools.cc, registriert am 27. März 2026, um Shell-Befehle abzurufen, die über den Windows-Prozess cmd.exe ausgeführt wurden.
Die heruntergeladenen Befehle lösten die Bereitstellung weiterer Schadsoftware aus, wodurch die Angreifer die Kontrolle über kompromittierte Systeme ausweiten konnten, während sie im Verhalten vertrauenswürdiger Software verborgen blieben.
Mehrstufige Malware-Bereitstellung gibt Anlass zur Sorge
Die Angriffskette umfasste mehrere sekundäre Nutzdaten, die für Aufklärung, Persistenz und Fernsteuerung entwickelt wurden. Zu den eingesetzten Dateien gehörten:
envchk.exe – ein .NET-basiertes Aufklärungstool, das detaillierte Systeminformationen sammeln kann.
cdg.exe und cdg.tmp – Komponenten, die zum Entschlüsseln und Starten einer leichtgewichtigen Hintertür verwendet werden, die in der Lage ist, Dateien herunterzuladen, Shell-Befehle auszuführen und Shellcode direkt im Speicher auszuführen.
Sicherheitsanalysten identifizierten zudem die Verbreitung eines Remote-Access-Trojaners namens QUIC RAT. Die Schadsoftware unterstützt zahlreiche Command-and-Control-Kommunikationsmethoden (C2), darunter HTTP, TCP, UDP, DNS, WSS, QUIC und HTTP/3. Darüber hinaus kann sie schädliche Daten in legitime Windows-Prozesse wie notepad.exe und conhost.exe einschleusen, was die Erkennung erheblich erschwert.
Tausende wurden entlarvt, aber nur ausgewählte Opfer wurden ins Visier genommen.
Forscher beobachteten mehrere tausend Infektionsversuche, die mit den kompromittierten Installationsprogrammen in über 100 Ländern, darunter Russland, Brasilien, die Türkei, Deutschland, Frankreich, Italien, Spanien und China, in Verbindung standen. Trotz der weitreichenden Infektion erhielten nur wenige Systeme die hochentwickelte Backdoor-Payload, was auf eine sehr selektive Zielstrategie hindeutet.
Die Nachfolge-Malware wurde in Organisationen aus den Bereichen Einzelhandel, wissenschaftliche Forschung, Regierung, Produktion und Bildung in Russland, Belarus und Thailand entdeckt. Eine bestätigte QUIC-RAT-Infektion zielte speziell auf eine Bildungseinrichtung in Russland ab.
Diese gezielte Vorgehensweise deutet stark darauf hin, dass die Kampagne auf präzise Angriffe und nicht auf wahllose Masseninfektionen ausgelegt war. Die Forscher konnten jedoch noch nicht klären, ob die Angreifer Cyberspionageoperationen oder finanziell motivierte Großangriffe planten.
Die Beweislage deutet auf einen hochentwickelten, chinesischsprachigen Bedrohungsakteur hin.
Obwohl bisher keine bekannte Bedrohungsgruppe offiziell mit der Operation in Verbindung gebracht wurde, deutet die forensische Analyse der Malware-Artefakte auf die Beteiligung eines chinesischsprachigen Angreifers hin. Die Komplexität des Angriffs in Verbindung mit der Fähigkeit, signierte Software zu kompromittieren, die über einen offiziellen Vertriebskanal vertrieben wird, zeugt von fortgeschrittenen Angriffsfähigkeiten und langfristiger operativer Planung.
Die Kompromittierung von DAEMON Tools reiht sich in eine wachsende Welle von Angriffen auf die Software-Lieferkette ein, die in der ersten Hälfte des Jahres 2026 beobachtet wurden. Ähnliche Vorfälle betrafen zuvor eScan im Januar, Notepad++ im Februar und CPUID im April.
Warum Angriffe auf Lieferketten so gefährlich sind
Kompromittierungen der Lieferkette sind nach wie vor besonders gefährlich, da sie das Vertrauen der Nutzer in seriöse Softwareanbieter ausnutzen. Anwendungen, die direkt von offiziellen Websites heruntergeladen und mit gültigen digitalen Zertifikaten signiert wurden, werden von Nutzern oder Sicherheitsprodukten selten als verdächtig eingestuft.
In diesem Fall blieb die schädliche Aktivität Berichten zufolge fast einen Monat lang unentdeckt, was sowohl die Raffinesse der Angreifer als auch die Grenzen herkömmlicher, perimeterbasierter Sicherheitsvorkehrungen verdeutlicht. Sicherheitsexperten betonen, dass Unternehmen, die betroffene Versionen von DAEMON Tools verwenden, die betroffenen Systeme umgehend isolieren und umfassende Bedrohungsanalysen durchführen sollten, um mögliche laterale Ausbreitung oder weitere schädliche Aktivitäten innerhalb der Unternehmensnetzwerke zu identifizieren.
Reaktion des Anbieters und empfohlene Abhilfemaßnahmen
AVB Disc Soft teilte mit, dass die Sicherheitslücke offenbar auf die Lite-Version der Software beschränkt sei, und bestätigte, dass eine Untersuchung im Gange sei, um den vollen Umfang und die Ursache des Vorfalls zu ermitteln.
Benutzern, die DAEMON Tools Lite Version 12.5.1 im betroffenen Zeitraum heruntergeladen oder installiert haben, wird dringend empfohlen, die Software sofort zu entfernen, einen vollständigen Virenscan und Endpoint-Security-Scan mit vertrauenswürdigen Sicherheitstools durchzuführen und ausschließlich die neueste saubere Version direkt von der offiziellen DAEMON Tools-Website neu zu installieren.
