DAEMON Toolsインストーラーにトロイの木馬混入　100カ国超に影響

DAEMON Tools配布経路悪用によるサプライチェーン攻撃

2026年4月以降、DAEMON Toolsの公式インストーラーを通じたマルウェア配布事例が確認されている。Kasperskyの分析によれば、改ざんされたインストーラーが公式サイト経由で配布され、影響を受けたバージョンは12.5.0.2421から12.5.0.2434までとされる。

攻撃では、DTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exeのコンポーネントが改ざんされ、悪性インプラントの配布に利用された。感染後のシステムは外部サーバーと通信し、シェルコマンドの受信や追加ペイロードの取得を行う構成となっている。

また、一部環境ではQUIC RAT系統のバックドア機能を持つペイロードも確認されている。影響はロシア、ブラジル、中国を含む100カ国以上に及び、小売、製造、研究、政府関連組織など複数分野で確認されている。

Kasperskyは、本件がデジタル署名を含む配布経路を悪用したサプライチェーン攻撃であると分析している。攻撃主体は特定されていないものの、中国語環境との関連性が指摘されている。