{"id":768,"date":"2026-05-05T18:25:47","date_gmt":"2026-05-05T18:25:47","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/05\/el-ataque-a-la-cadena-de-suministro-de-daemon-tools-compromete-a-los-instaladores-oficiales-con-malware-cyberdefensa-mx\/"},"modified":"2026-05-05T18:25:47","modified_gmt":"2026-05-05T18:25:47","slug":"el-ataque-a-la-cadena-de-suministro-de-daemon-tools-compromete-a-los-instaladores-oficiales-con-malware-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/05\/el-ataque-a-la-cadena-de-suministro-de-daemon-tools-compromete-a-los-instaladores-oficiales-con-malware-cyberdefensa-mx\/","title":{"rendered":"El ataque a la cadena de suministro de DAEMON Tools compromete a los instaladores oficiales con malware \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Un ataque a la cadena de suministro recientemente identificado dirigido al software DAEMON Tools ha comprometido a sus instaladores para entregar una carga \u00fatil maliciosa, seg\u00fan los hallazgos de Kaspersky.<\/p>\n<p>\u00abEstos instaladores se distribuyen desde el sitio web leg\u00edtimo de DAEMON Tools y est\u00e1n firmados con certificados digitales pertenecientes a los desarrolladores de DAEMON Tools\u00bb, dijeron los investigadores de Kaspersky Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko y Anton Kargin. <a href=\"https:\/\/securelist.com\/tr\/daemon-tools-backdoor\/119654\/\">dicho<\/a>.<\/p>\n<p>Los instaladores han sido troyanizados desde el 8 de abril de 2026, con versiones que van desde 12.5.0.2421 a 12.5.0.2434 identificadas como comprometidas como parte del incidente. El ataque a la cadena de suministro est\u00e1 activo al momento de escribir este art\u00edculo. AVB Disc Soft, el desarrollador del software, ha sido notificado de la infracci\u00f3n.<\/p>\n<p>Espec\u00edficamente, se han manipulado tres componentes diferentes de DAEMON Tools:<\/p>\n<ul>\n<li>DTHelper.exe<\/li>\n<li>DiscSoftBusServiceLite.exe<\/li>\n<li>DTShellHlp.exe<\/li>\n<\/ul>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/threatlabz-vpn-risk-2026-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhnNON5UeWywT7OcPNw7V4L7QNWnCnm7Xl_99Y9ek8dL-gRwx-bWxQM1TKqt8deqqrdpUyKMuuijAWyyPQVB0s0qf8ntQ6ldFAJLru-QUWhddKTopc7SeNbBBnd-TsfFyRPP-AAyDuclLlL6XHK4_LXqDC_7eyaz9pzToYr7U543MhrJ7qcK-89sVWHTQUZ\/s728-e100\/zz-2-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Cada vez que se inicia uno de estos binarios, lo que suele ocurrir durante el inicio del sistema, se activa un implante en el host comprometido. Est\u00e1 dise\u00f1ado para enviar una solicitud HTTP GET a un servidor externo (\u00abenv-check.daemontools[.]cc\u00bb), un dominio registrado el 27 de marzo de 2026, para recibir un comando de shell que se ejecuta mediante el proceso \u00abcmd.exe\u00bb.<\/p>\n<p>El comando shell, por su parte, se utiliza para descargar y ejecutar una serie de cargas \u00fatiles ejecutables. Estos incluyen \u2013<\/p>\n<ul>\n<li>envchk.exe, un ejecutable .NET para recopilar amplia informaci\u00f3n del sistema.<\/li>\n<li>cdg.exe y cdg.tmp, el primero de los cuales es un cargador de shellcode responsable de descifrar el contenido del segundo archivo y abrir una puerta trasera minimalista que contacta a un servidor remoto para descargar archivos, ejecutar comandos de shell y ejecutar cargas \u00fatiles de shellcode en la memoria.<\/li>\n<\/ul>\n<p>La empresa rusa de ciberseguridad dijo que observ\u00f3 varios miles de intentos de infecci\u00f3n que involucraban herramientas DAEMON en su telemetr\u00eda, lo que afect\u00f3 a personas y organizaciones en m\u00e1s de 100 pa\u00edses, como Rusia, Brasil, Turqu\u00eda, Espa\u00f1a, Alemania, Francia, Italia y China. Sin embargo, la puerta trasera de la siguiente etapa se entreg\u00f3 solo a una docena de hosts, lo que indica un enfoque espec\u00edfico.<\/p>\n<p>Los sistemas que recibieron el siguiente malware han sido marcados como pertenecientes a organizaciones minoristas, cient\u00edficas, gubernamentales y de fabricaci\u00f3n en Rusia, Bielorrusia y Tailandia. Es m\u00e1s, una de las cargas \u00fatiles entregadas a trav\u00e9s de la puerta trasera es un troyano de acceso remoto denominado QUIC RAT. El uso del implante C++ se ha registrado contra una \u00fanica v\u00edctima: una instituci\u00f3n educativa ubicada en Rusia.<\/p>\n<p>\u00abEsta forma de implementar la puerta trasera en un peque\u00f1o subconjunto de m\u00e1quinas infectadas indica claramente que el atacante ten\u00eda intenciones de llevar a cabo la infecci\u00f3n de manera espec\u00edfica\u00bb, dijo Kaspersky. \u00abSin embargo, su intenci\u00f3n, ya sea ciberespionaje o &#8216;caza mayor&#8217;, no est\u00e1 clara actualmente\u00bb.<\/p>\n<p>El malware admite una variedad de protocolos de comando y control (C2), incluidos HTTP, UDP, TCP, WSS, QUIC, DNS y HTTP\/3, y viene equipado con capacidades para inyectar cargas \u00fatiles en procesos leg\u00edtimos \u00abnotepad.exe\u00bb y \u00abconhost.exe\u00bb.<\/p>\n<p>La actividad no se ha atribuido a ning\u00fan actor o grupo de amenazas conocido. Pero la evidencia apunta a que es obra de un adversario de habla china seg\u00fan un an\u00e1lisis de los artefactos observados.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-cant-stop-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjPEV6-530TOlxG6PjrmdlY623wpBwduZ7t1HV6flcmO5R4q4AmfixDUzW0CrhlvMVNWbhvOIso-UDNTka4W_W9Chrdj_dglwBZwi7DuePM2IMIl-hfUYVIqBXgfpr_2619K8Gptb4LzwJ6gUbi7lWl2M8AFQJsHEaw63Q7tZ6708YGruiHrr0Y2W9YYxLQ\/s728-e100\/ThreatLocker-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>El compromiso de DAEMON Tools es el \u00faltimo de una lista cada vez mayor de incidentes en la cadena de suministro de software en la primera mitad de 2026, y sigue a violaciones similares de alto perfil que involucraron a eScan en enero, Notepad++ en febrero y CPUID en abril.<\/p>\n<p>\u00abUn compromiso de esta naturaleza pasa por alto las defensas perimetrales tradicionales porque los usuarios conf\u00edan impl\u00edcitamente en el software firmado digitalmente y descargado directamente de un proveedor oficial\u00bb, dijo Kucherin, investigador senior de seguridad de Kaspersky GReAT, en un comunicado compartido con The Hacker News.<\/p>\n<p>\u00abDebido a esto, el ataque de DAEMON Tools ha pasado desapercibido durante aproximadamente un mes. Este per\u00edodo de tiempo, a su vez, indica que el actor de amenaza detr\u00e1s de este ataque es sofisticado y tiene capacidades ofensivas avanzadas. Dada la alta complejidad del compromiso, es por lo tanto de suma importancia para las organizaciones aislar las m\u00e1quinas que tienen instalado el software Daemon Tools, as\u00ed como realizar barridos de seguridad para evitar una mayor propagaci\u00f3n de actividades maliciosas dentro de las redes corporativas\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Un ataque a la cadena de suministro recientemente identificado dirigido al software DAEMON Tools ha comprometido a sus instaladores para entregar una carga \u00fatil maliciosa, seg\u00fan los hallazgos de Kaspersky. \u00abEstos instaladores se distribuyen desde el sitio web leg\u00edtimo de DAEMON Tools y est\u00e1n firmados con certificados digitales pertenecientes a los desarrolladores de DAEMON Tools\u00bb, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":731,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[181,249,2302,31,24,2301,924,52,60,2303,250,2211],"class_list":["post-768","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-ataque","tag-cadena","tag-compromete","tag-con","tag-cyberdefensa-mx","tag-daemon","tag-instaladores","tag-los","tag-malware","tag-oficiales","tag-suministro","tag-tools"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/768","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=768"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/768\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/731"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=768"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=768"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=768"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}