¿Instalaste DAEMON Tools recientemente? Es posible que se haya alojado software espía en tu ordenador
Un espía oculto ya está examinando a fondo el contenido de tu disco duro.
Actores maliciosos sustituyeron parte de los instaladores oficiales de DAEMON Tools Lite y convirtieron el canal habitual de descarga del programa en una herramienta de ciberspionaje. El peligro de la campaña aumentó porque los archivos infectados estaban firmados con certificados digitales legítimos del desarrollador, por lo que las comprobaciones básicas de seguridad podían permitir el código malicioso.
Según «Kaspersky Lab», el ataque comenzó el 8 de abril de 2026 y afectó a los instaladores de DAEMON Tools Lite en versiones desde la 12.5.0.2421 hasta la 12.5.0.2434. Los atacantes, probablemente, obtuvieron acceso al proceso de compilación de AVB Disc Soft e inyectaron código malicioso en varios ejecutables, incluidos DTHelper.exe, DTShellHlp.exe y DiscSoftBusServiceLite.exe.
Tras el inicio del programa infectado, una puerta trasera oculta se activaba en la fase de inicialización y creaba un hilo separado para comunicarse con el dominio env-check.daemontools[.]cc. El dominio se registró el 27 de marzo, poco antes del inicio del ataque. El servidor de mando y control podía enviar órdenes para su ejecución a través de cmd.exe, y en algunos casos los atacantes ejecutaban PowerShell para descargar componentes maliciosos adicionales.
El primer paso lo constituía el archivo envchk.exe, escrito en .NET. El componente recopilaba información del sistema, incluida la dirección MAC, el nombre del equipo, el dominio DNS, la lista de procesos en ejecución y los programas instalados. En el código se hallaron cadenas en chino, pero los especialistas aún no vinculan la campaña con un grupo concreto.
La infección masiva no implicó la instalación automática de todos los módulos. De entre miles de sistemas afectados, los atacantes seleccionaron aproximadamente una decena de objetivos para la instalación manual del cargador cdg.exe. El componente descifraba la carga útil con RC4 directamente en memoria y permitía ejecutar comandos. Errores en las órdenes de los operadores indican trabajo manual de los atacantes en tiempo real.
El módulo más complejo, denominado QUIC RAT, se detectó solo en una institución educativa en Rusia. El troyano de acceso remoto está escrito en C++, está muy ofuscado y soporta QUIC, DNS y HTTP/3. Para ocultarse, el código malicioso se inyectaba en procesos legítimos de Windows, incluidos notepad.exe y conhost.exe.
Los instaladores infectados llegaron a usuarios y empresas en más de 100 países. El mayor número de casos se registró en Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China. Según los autores del informe, los módulos avanzados se emplearon de forma selectiva en operaciones de ciberspionaje contra organizaciones del comercio minorista, la investigación, el sector público y la industria.