调查显示,这轮攻击行动始于 2026 年 4 月 8 日,多个版本的 DAEMON Tools(12.5.0.2421 至 12.5.0.2434)被“投毒”,遭篡改后的安装程序直接托管在软件官方网站上,并使用开发商 AVB Disc Soft 的有效数字证书进行签名,大幅提高了用户误信和中招的概率。 研究人员指出,截至 5 月上旬,该攻击活动仍在持续,对应的恶意基础设施依然处于活跃状态。
在此次事件中,DTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exe 等多个核心可执行文件被修改,加入隐藏后门逻辑。 一旦软件被安装,这些组件会在系统启动时自动运行,并与外部的命令与控制(C2)服务器建立通信。 攻击者还注册并启用了一个与 DAEMON Tools 官方站点名称极为相似的域名,以此将恶意流量伪装成正常访问行为;该域名在攻击开始前数日才注册,显示出攻击行动经过精心预谋和策划。
从攻击链路来看,此次行动呈现明显的分阶段结构。 在大多数受害设备上,系统首先会接收到一个信息窃取类的初始载荷,用于收集包括 MAC 地址、主机名、已安装软件列表、正在运行的进程、网络配置以及系统语言/区域设置等在内的多种环境数据。 这些数据会被上传至攻击者控制的服务器,推测用于对受感染系统进行画像与价值评估,从而决定后续是否投放更高级别的工具。 研究人员还在该载荷中发现了部分中文字符串,暗示攻击方可能为中文使用者,但目前尚未有正式、明确的溯源结论。
虽然监测到的感染尝试已遍布全球、数量达数千例,但真正被投放第二阶段恶意程序的仅是少数目标主机。 这些“优先目标”多隶属于政府、制造业、科学研究以及零售等行业组织。 这种有限投放、定向加码的方式显示,这并非单纯的机会型攻击,而更接近具有情报收集或战略渗透意图的定向行动。
在已确认的二阶段工具中,研究人员发现一种极简后门,可在受害系统上执行命令、下载文件,并将恶意代码直接加载至内存中运行,以降低落地痕迹。 在至少一例成功入侵的案例中,攻击者还部署了名为 QUIC RAT 的高级植入程序。 该恶意程序支持 HTTP、TCP、DNS、QUIC 等多种通信协议,并可将自身恶意代码注入到诸如 notepad.exe 等合法进程中,从而进一步隐蔽其活动轨迹。
遥测数据显示,目前已在 100 多个国家观测到相关感染尝试。 受影响系统数居前的地区包括俄罗斯、巴西、土耳其、西班牙、德国、法国、意大利和中国等。 其中约一成受影响设备属于各类组织机构,其余大多仅停留在初始的数据收集阶段,并未进一步接收第二阶段载荷。
卡巴斯基表示,其安全产品可以在多个环节对本次攻击进行检测与拦截,包括识别可疑的基于 PowerShell 的下载行为、从临时目录执行的恶意程序、向合法进程注入代码的活动,以及异常的对外网络通信模式等。 研究人员建议,凡是在 2026 年 4 月 8 日之后安装过 DAEMON Tools 的组织,应对相关系统开展全面审计,重点检查是否存在异常的 PowerShell 命令行活动以及从临时目录触发的可疑执行。 同时,机构应优先落实零信任安全架构,限制临时目录的可执行权限,并通过分层防御策略提升整体安全韧性。
此次 DAEMON Tools 供应链事件再次表明,攻击者正在不断精进针对软件供应链的攻击手法,将大范围分发与精准打击相结合,以合法、可信的软件为跳板渗透各类环境。 在这种趋势下,即便是被长期视为“安全”的常用工具软件,也必须被视作潜在风险源,组织需要以更为审慎和主动的安全策略来应对日益复杂的供应链威胁。