Un grave attacco supply chain ha colpito il sito ufficiale di Daemon Tools, il popolare software per la gestione di immagini disco sviluppato da AVB Disc Soft. L’operazione, attiva dall’8 aprile 2026, ha compromesso migliaia di sistemi in tutto il mondo. Tra i bersagli figurano organizzazioni governative, scientifiche, manifatturiere e retail in Russia, Bielorussia e Thailandia.
—
## Come Funziona l’Attacco Supply Chain su Daemon Tools
### Installer Compromessi con Certificati Validi
Gli attaccanti hanno sostituito gli installer legittimi con versioni trojanizzate. Le versioni compromesse vanno dalla 12.5.0.2421 alla 12.5.0.2434. Ogni installer era firmato con un certificato digitale valido. Questo ha permesso di eludere i controlli di sicurezza tradizionali.
Il malware ha modificato tre componenti chiave del software:
- `DTHelper.exe`
- `DiscSoftBusServiceLite.exe`
- `DTShellHlp.exe`
La compromissione è rimasta inosservata per circa un mese. Un lasso di tempo simile a quanto accaduto nel 2023 con il caso 3CX.
### Il Payload: QUIC RAT e Shellcode Injector
Tuttavia, la distribuzione massiva era solo il primo stadio. I ricercatori di Kaspersky hanno identificato due payload secondari: **QUIC RAT** e uno **shellcode injector**. Questi strumenti sono stati distribuiti solo su circa 12 sistemi ad alto valore. La selezione dei target indica un’operazione di spionaggio mirata e sofisticata.
Il comando e controllo avviene tramite un dominio typosquatting: `env-check.daemontools[.]cc`. Questo dettaglio rivela una pianificazione operativa avanzata.
—
## Chi c’è Dietro l’Attacco? Il Profilo del Threat Actor
### Artefatti in Lingua Cinese nel Codice Malevolo
Kaspersky non ha attribuito formalmente l’attacco a nessun gruppo noto. Tuttavia, ha identificato artefatti in lingua cinese all’interno del codice di QUIC RAT e dello shellcode injector. Questo suggerisce un attore di minaccia di lingua cinese.
In questo contesto, il profilo dell’operazione è coerente con campagne di spionaggio state-sponsored. La selezione chirurgica dei 12 target finali lo conferma. Gli aggressori hanno condotto una ricognizione approfondita prima di distribuire i payload di secondo livello.
Vale la pena sottolineare che questa tattica — compromettere migliaia di sistemi per colpirne pochi — è caratteristica delle operazioni APT più sofisticate.
—
## Il Contesto: 2026, Anno Record per gli Attacchi alla Supply Chain
### Quattro Incidenti Maggiori in Cinque Mesi
Il caso Daemon Tools non è isolato. Kaspersky ha documentato ben quattro grandi compromissioni software nella sola prima metà del 2026:
1. **Gennaio 2026** – eScan
2. **Febbraio 2026** – Notepad++
3. **Aprile 2026** – CPU-Z
4. **Maggio 2026** – Daemon Tools
Parallelamente, i pacchetti open-source malevoli sono aumentati del 37% anno su anno fino alla fine del 2025. Quasi 19.500 pacchetti malevoli sono stati rilevati in quel periodo.
### La Lezione di SolarWinds È Ancora Attuale
Di conseguenza, il settore non può ignorare i precedenti storici. L’attacco a SolarWinds nel 2020 aveva compromesso circa 18.000 organizzazioni. Quell’incidente aveva generato una risposta normativa senza precedenti, inclusi un Executive Order della Casa Bianca e nuove direttive CISA.
Oggi, nonostante anni di avvertimenti, la supply chain software rimane un vettore di attacco privilegiato. La ragione è semplice: bypassa le difese perimetrali e sfrutta la fiducia implicita nei software firmati digitalmente.
—
## Come Difendersi: Raccomandazioni per CISO e Manager
### Azioni Immediate per Chi Usa Daemon Tools
Le organizzazioni devono verificare immediatamente se hanno installato versioni dalla 12.5.0.2421 alla 12.5.0.2434 dopo l’8 aprile 2026. In caso affermativo, è necessario:
- Isolare i sistemi potenzialmente compromessi
- Analizzare i log per query DNS verso `*.daemontools[.]cc`
- Verificare processi anomali avviati da DTHelper.exe
### Misure Strutturali di Sicurezza
Inoltre, le organizzazioni dovrebbero adottare un approccio zero-trust alla supply chain software. Le misure chiave includono:
- **Software Bill of Materials (SBOM)** per tracciare le dipendenze di terze parti
- **EDR con analisi comportamentale** per rilevare comunicazioni sospette post-installazione
- **Application whitelisting** e certificate pinning per i vendor critici
- **Network monitoring** per connessioni outbound verso domini typosquatting
- **Staged rollout** per nuove versioni software, evitando deployment immediati
In particolare, i software di sistema come Daemon Tools operano con privilegi elevati. Questo li rende bersagli ad alto valore per gli attaccanti.
—
- Fonti:*
- [Kaspersky Press Release](https://www.kaspersky.com/about/press-releases/kaspersky-identifies-ongoing-supply-chain-attack-on-official-daemon-tools-website-distributing-backdoor-malware)
- [Risky Biz Newsletter](https://news.risky.biz/risky-bulletin-extremely-targeted-supply-chain-attack-hits-daemon-tools/)
- [Kaspersky Blog](https://www.kaspersky.com.au/blog/daemon-tools-supply-chain-attack/36200/)
- [TechCrunch](https://techcrunch.com/2026/05/05/kaspersky-suspects-chinese-hackers-planted-a-backdoor-into-daemon-tools-in-widespread-attack/)
- [SecurityWeek](https://www.securityweek.com/government-scientific-entities-hit-via-daemon-tools-supply-chain-attack/)
Fonte: Articolo originale
Episodi come l’attacco supply chain a Daemon Tools dimostrano quanto sia critica la condivisione tempestiva di threat intelligence tra organizzazioni dello stesso settore. Piattaforme come IsacChain permettono la condivisione sicura e verificata di indicatori di compromissione tra membri ISAC, supportando al contempo la compliance NIS2 automatizzata richiesta alle entità essenziali e importanti. La verifica blockchain garantisce l’integrità e la tracciabilità di ogni dato condiviso, eliminando il rischio di manipolazione delle informazioni. Scopri come IsacChain può aiutare la tua organizzazione su www.isacchain.com