Ataque a la cadena de suministro de Daemon Tools
Los investigadores de Kaspersky han detectado una puerta trasera insertada en Daemon Tools, una herramienta de imágenes de disco muy extendida en sistemas Windows. Según los datos recogidos por el antivirus ruso, la intrusión es de alcance global y afecta a miles de equipos que utilizan el programa para crear o montar archivos ISO y otras imágenes.
Cómo se descubrió la vulnerabilidad
El vector de ataque fue identificado el 8 de abril, cuando un incremento inusual de alertas de malware coincidió con la activación de un módulo sospechoso dentro del instalador oficial de Daemon Tools. Al someter el archivo a VirusTotal, la plataforma de escaneo en línea reveló la presencia de un código malicioso que actuaba como backdoor, permitiendo a los atacantes ejecutar comandos remotos y descargar payloads adicionales.
Perfil de los perpetradores
Kaspersky ha asociado al grupo responsable con un lenguaje chino, lo que sugiere una posible vinculación con actores estatales de la República Popular. El análisis del malware indica que el bot está diseñado para ser discreto, evitando detecciones por parte de herramientas de seguridad convencionales y manteniendo persistencia en el sistema infectado.
Objetivos y sectorización de los ataques
Aunque la puerta trasera se propaga a través de actualizaciones legítimas del software, los agentes malintencionados han seleccionado objetivos específicos dentro de los sectores minorista, científico, manufacturero y gubernamental. Entre los países comprometidos se encuentran Rusia, Bielorrusia y Tailandia, lo que sugiere una campaña de espionaje estructurada y focalizada.
Respuesta de Disc Soft y medidas recomendadas
Disc Soft, la compañía detrás de Daemon Tools, confirmó que está al tanto del informe y que ha iniciado una investigación interna. Hasta el momento no se ha publicado un parche oficial, por lo que los usuarios deben actuar con cautela. Se recomienda actualizar a la versión más reciente tan pronto como esté disponible, reforzar las configuraciones de antivirus, y desactivar la opción de actualizaciones automáticas si provienen de fuentes no verificadas.
El auge de los ataques a la cadena de suministro
Este incidente se suma a una serie de vulnerabilidades explotadas recientemente en programas populares como Notepad++ y herramientas de monitoreo de hardware. Los atacantes se aprovechan de la confianza que los usuarios depositan en actualizaciones oficiales para infiltrar código malicioso en miles de equipos simultáneamente, lo que amplifica el impacto y dificulta la contención.
Los usuarios de Daemon Tools que hayan recibido alertas de su antivirus deben reportar el incidente a sus equipos de TI y, de ser posible, proporcionar logs que ayuden a los analistas a rastrear la actividad del backdoor.