El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha identificado un ataque activo a la cadena de suministro que afecta a la página web oficial de Daemon Tools, un software ampliamente utilizado para la emulación de unidades virtuales. El instalador comprometido distribuye malware junto con la aplicación legítima, lo que permite a los ciberdelincuentes ejecutar comandos y tomar el control remoto de los dispositivos infectados.
Durante un reciente análisis de telemetría, los analistas detectaron que, desde abril de 2026, los actores de amenazas han estado distribuyendo activamente versiones modificadas del software directamente desde el dominio oficial del proveedor. El malware se ocultaba mediante un certificado digital válido del desarrollador, lo que dificultaba su detección. La amenaza afecta a la versión 12.5.0.2421 de Daemon Tools y posteriores. Kaspersky ya ha notificado a AVB Disc Soft, desarrollador del software, para que se puedan tomar las medidas de remediación adecuadas.
Dado que el disco de software de emulación requiere acceso de bajo nivel al sistema para funcionar correctamente, los usuarios suelen conceder permisos de administrador durante la instalación. Esto permite al malware obtener un acceso profundo al sistema operativo y comprometer gravemente la seguridad del dispositivo. En este caso, los ciberdelincuentes modificaron archivos legítimos para ejecutar código malicioso al iniciar el programa y utilizaron servicios de Windows para mantener la persistencia en el sistema.
Los datos de Kaspersky muestran que la distribución del software comprometido ha sido global, con presencia en más de 100 países. La mayoría de las víctimas se concentran en Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China.
El análisis revela que el 10% de los sistemas afectados pertenecen a empresas y organizaciones. Aunque Daemon Tools es una herramienta habitual en entornos domésticos, su uso en entornos corporativos puede suponer un riesgo significativo para la seguridad de las redes empresariales.
En un número reducido de casos, en concreto en algo más de diez equipos pertenecientes a organizaciones de los sectores minorista, científico, gubernamental y manufactura los expertos de Kaspersky observaron ataques dirigidos en los que se desplegaron herramientas adicionales, como inyectores de código y troyanos de acceso remoto desconocidos hasta ahora. El perfil de estos objetivos y ciertas inconsistencias en los comandos utilizados apuntan a acciones manuales sobre sistemas concretos. Aunque se han detectado elementos en chino en el código malicioso, por el momento no se ha atribuido la campaña a ningún grupo conocido.
“Un ataque de este tipo logra sortear las defensas tradicionales porque los usuarios confían en el software firmado digitalmente que descargan desde una fuente oficial. Esto ha permitido que la ciberamenaza haya pasado desapercibida durante cerca de un mes, lo que indica un alto nivel de sofisticación por parte de los ciberdelincuentes. Dada la complejidad del ataque, es fundamental que las organizaciones aíslen los equipos en los que esté instalado Daemon Tools y realicen revisiones de seguridad para evitar la propagación dentro de la red.” afirmó Georgy Kucherin, investigador senior en Kaspersky GReAT
Tras la conocerse el caso, el proveedor publicó una nueva versión del software destinada a solucionarlo. La versión actualizada 12.6.0.2445 ya no presenta el comportamiento malicioso descrito en este comunicado de prensa.
En marzo de 2026, el estudio “Supply chain reaction: securing the global digital ecosystem in an age of interdependence” de Kaspersky reveló que El 40% de las empresas en España están expuestas a riesgos en la cadena de suministro.
Cómo reducir los riesgos asociados a este tipo de ataques
- Auditar la cadena de suministro de software: antes de autorizar aplicaciones de terceros en entornos corporativos, evaluar el historial de seguridad del proveedor, revisar sus datos de divulgación de vulnerabilidades y verificar su cumplimiento con los estándares de seguridad de la industria.
- Aplicar protocolos estrictos de adquisición: exigir auditorías de seguridad periódicas para todo el software desplegado y garantizar que cualquier herramienta utilizada por los empleados cumpla con las políticas internas de seguridad y los requisitos de notificación de incidentes de la organización.
- Restringir los privilegios administrativos: implementar marcos preventivos, como el principio de mínimo privilegio y la arquitectura zero-trust. Limitar los derechos de acceso de los usuarios reduce significativamente el radio de impacto potencial en caso de que una aplicación de confianza se vea comprometida e intente ejecutar comandos no autorizados.
- Desplegar monitorización continua de la infraestructura: Kaspersky recomienda utilizar soluciones de Detección y Respuesta Extendidas (XDR). Estas herramientas proporcionan monitoreo en tiempo real para identificar anomalías en el tráfico de red o acciones no autorizadas originadas en software de confianza implícita.
- Actualizar los manuales de respuesta a incidentes: asegurar que las estrategias de seguridad organizacionales contemplen explícitamente las brechas en la cadena de suministro. Los manuales deben incluir pasos predefinidos para identificar, contener y desconectar rápidamente las aplicaciones de terceros comprometidas de los sistemas internos.
