Por Canuto Daemon Tools, una popular aplicación para montar imágenes de disco, quedó en el centro de un ataque a la cadena de suministro que distribuyó actualizaciones maliciosas durante aproximadamente un mes desde los propios servidores de su desarrollador, comprometiendo miles de equipos y permitiendo la instalación de puertas traseras en objetivos seleccionados.
***
- Kaspersky indicó que las versiones 12.5.0.2421 a 12.5.0.2434 de Daemon Tools fueron distribuidas con malware desde canales oficiales.
- La campaña comenzó el 8 de abril y seguía activa al momento de la publicación del informe, con miles de máquinas afectadas en más de 100 países.
- Solo una fracción de los equipos recibió cargas posteriores más avanzadas, lo que sugiere un componente de intrusión dirigida contra organizaciones específicas.
La aplicación Daemon Tools, ampliamente conocida por permitir el montaje de imágenes de disco, fue comprometida en un ataque a la cadena de suministro que distribuyó software malicioso desde la infraestructura oficial de su desarrollador. El caso vuelve a poner sobre la mesa uno de los escenarios más difíciles de contener en ciberseguridad: cuando una actualización aparentemente legítima se convierte en el vehículo de infección.
De acuerdo con un reporte citado por Ars Technica, la intrusión comenzó el 8 de abril y seguía activa al momento de publicarse la investigación. Los instaladores afectados estaban firmados con el certificado digital oficial del desarrollador, un detalle que aumenta el nivel de riesgo porque reduce las señales de alerta para usuarios y administradores.
Las versiones impactadas fueron la 12.5.0.2421 hasta la 12.5.0.2434. Aunque el informe no lo afirma de manera explícita, los detalles técnicos apuntan a que las ediciones comprometidas serían las que operan en Windows, donde el malware infecta los ejecutables de Daemon Tools para ejecutarse en el arranque del sistema.
Ni Kaspersky ni el desarrollador AVB pudieron ser contactados de inmediato para ofrecer detalles adicionales, según la información disponible. Esa falta de aclaración pública inmediata deja abiertas preguntas importantes sobre el vector de compromiso inicial y el alcance real de la distribución maliciosa.
Qué hacía el malware y por qué el caso preocupa tanto
Las versiones infectadas incluían una carga útil inicial orientada al reconocimiento del sistema. Esa primera etapa recopilaba direcciones MAC, nombres de host, nombres de dominio DNS, procesos en ejecución, software instalado y configuraciones regionales del equipo comprometido.
Después de obtener esos datos, el malware los enviaba a un servidor controlado por los atacantes. Este comportamiento es típico en operaciones que primero buscan clasificar víctimas y priorizar blancos antes de desplegar herramientas más agresivas o más silenciosas.
La campaña alcanzó a miles de máquinas en más de 100 países. Sin embargo, solo alrededor de 12 equipos pertenecientes a organizaciones de los sectores minorista, científico, gubernamental y manufacturero recibieron una carga útil posterior, un patrón que sugiere una selección deliberada y no una monetización masiva indiscriminada.
Ese detalle es clave porque separa este incidente de una simple infección extendida. Aquí, la distribución amplia parece haber servido como una red de pesca para identificar sistemas valiosos y luego comprometer solo un subconjunto con herramientas de acceso más avanzadas.
Los ataques de cadena de suministro suelen ser especialmente complejos de defender porque el usuario no necesita cometer un error evidente. Basta con instalar una actualización firmada digitalmente y publicada en canales oficiales para quedar expuesto, lo que debilita muchas de las prácticas básicas de higiene digital que normalmente funcionan frente a malware común.
Las puertas traseras observadas en organizaciones específicas
Una de las cargas posteriores entregadas a cerca de una docena de organizaciones fue descrita por Kaspersky como una “puerta trasera minimalista”. Su funcionalidad incluía la ejecución de comandos, la descarga de archivos y la ejecución de shellcode en memoria.
Ese último punto importa especialmente para los equipos de defensa. Cuando el código malicioso se ejecuta en memoria, la detección se vuelve más difícil porque reduce rastros directos en disco y puede mezclarse con procesos legítimos del sistema operativo.
Los investigadores también observaron una puerta trasera más compleja, denominada QUIC RAT, instalada en una sola máquina perteneciente a una institución educativa ubicada en Rusia. El hallazgo sugiere que la operación no solo tenía distintas fases, sino también distintos niveles de sofisticación según el objetivo.
El análisis inicial de QUIC RAT encontró capacidades para inyectar cargas útiles en los procesos notepad.exe y conhost.exe. Además, soportaba una variedad amplia de protocolos de comunicación de comando y control, entre ellos HTTP, UDP, TCP, WSS, QUIC, DNS y HTTP/3.
La variedad de protocolos disponibles otorga flexibilidad operativa al atacante. También puede complicar la detección perimetral, ya que el tráfico malicioso puede camuflarse mejor entre comunicaciones legítimas o adaptarse según el entorno de red de la víctima.
Alcance geográfico y posible objetivo de la operación
Las organizaciones infectadas estaban ubicadas principalmente en Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China. Aun así, la visibilidad del incidente es parcial, ya que la telemetría de Kaspersky se limita a los sistemas protegidos por sus propios productos.
Según los investigadores, cerca del 10% de los sistemas afectados pertenecían a empresas y organizaciones. La mayoría de las máquinas recibió solo la carga recolectora de información, mientras que la puerta trasera más compleja apareció en una docena de equipos vinculados a entidades gubernamentales, científicas, manufactureras y minoristas en Rusia, Bielorrusia y Tailandia.
Ese modo de despliegue sugiere una operación dirigida. No obstante, el propósito exacto aún no está claro. Kaspersky señaló que, por ahora, no puede determinar si la intención final era ciberespionaje o una estrategia de “big game hunting”, es decir, seleccionar víctimas de alto valor para una explotación posterior.
La firma también afirmó que la intrusión fue orquestada de una manera altamente sofisticada. Como referencia, comparó el tiempo que tardó en detectarse este caso, aproximadamente un mes, con el ataque a la cadena de suministro de 3CX investigado en 2023 junto con la comunidad de ciberseguridad.
La comparación no es menor. En este tipo de incidentes, una detección tardía implica que los atacantes pueden mantener acceso sigiloso durante semanas o meses, perfilar a las víctimas y desplegar herramientas de postexplotación cuando el entorno resulte más conveniente.
Un patrón que recuerda a otros grandes incidentes
El ataque contra Daemon Tools se suma a una lista de casos emblemáticos que marcaron la última década. Entre ellos se encuentran el envenenamiento de CCleaner en 2017, el caso SolarWinds en 2020 y la intrusión contra 3CX en 2023.
Todos esos precedentes comparten un elemento crítico: la confianza. Los usuarios descargan software desde fuentes oficiales, los sistemas verifican firmas válidas y los procesos internos de actualización avanzan con normalidad. Precisamente por eso, estos eventos suelen tener un impacto desproporcionado frente a otros vectores de ataque.
Más recientemente, ataques de cadena de suministro también han afectado a Trivy, Checkmarx y Bitwarden, además de más de 150 paquetes disponibles a través de repositorios de código abierto. El año pasado se registraron al menos seis ataques notables de esta clase.
Para audiencias vinculadas con tecnología, activos digitales, infraestructura financiera o servicios en la nube, el caso ofrece una lección transversal. No se trata solo de proteger credenciales o billeteras, sino de auditar dependencias, revisar integridad de software y asumir que la confianza en proveedores también puede convertirse en superficie de ataque.
Qué deberían revisar los usuarios y las organizaciones
Kaspersky recomendó que cualquier persona que use Daemon Tools se tome el tiempo de analizar completamente sus máquinas con software antivirus de buena reputación. En el caso de los usuarios de Windows, la sugerencia adicional es revisar los indicadores de compromiso incluidos por la firma en su publicación técnica.
Para perfiles más avanzados, la recomendación es monitorear inyecciones de código sospechosas en procesos legítimos del sistema. La alerta es mayor cuando la fuente proviene de ejecutables iniciados desde directorios de acceso público como Temp, AppData o Public.
Las organizaciones que tuvieron Daemon Tools instalado deberían revisar con atención cualquier actividad anómala vinculada con ciberseguridad ocurrida desde el 8 de abril en adelante. Esa revisión no solo debe contemplar antivirus y EDR, sino también registros de red, persistencia en inicio, cambios en procesos y conexiones salientes inusuales.
Por ahora, el episodio deja una advertencia contundente. Incluso una aplicación ampliamente utilizada y distribuida desde canales oficiales puede convertirse en una plataforma de intrusión si la cadena de confianza se rompe. Cuando eso ocurre, el problema ya no es solo de un usuario desprevenido, sino de todo el modelo de distribución de software.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
Nvidia y Corning abrirán tres fábricas ópticas en EE. UU. para impulsar la infraestructura de IA
China
DeepSeek se acerca a una valoración de USD $45.000 millones con apoyo de un gran fondo estatal chino
IA
Google refuerza su búsqueda con IA y suma consejos de Reddit y foros
IA