El equipo de investigación y análisis global de Kaspersky descubrió una brecha de seguridad activa que afecta al sitio oficial de Daemon Tools, un programa popular para la emulación de unidades virtuales. Desde el 8 de abril de 2026, los atacantes han distribuido versiones modificadas del software a través del dominio principal del proveedor. El malware se encuentra oculto tras un certificado digital de desarrollador que es totalmente válido, lo que dificulta su detección inicial por parte de las defensas tradicionales.
Este compromiso afecta específicamente a las versiones de Daemon Tools desde la 12.5.0.2421 hasta la más reciente. Debido a que esta herramienta requiere privilegios administrativos elevados para funcionar, el código malicioso logra una presencia profunda en los sistemas operativos de las víctimas. Los atacantes manipularon los archivos binarios de la aplicación para iniciar procesos perjudiciales al arrancar el equipo y utilizaron servicios propios de Windows para asegurar su permanencia.
El impacto de esta campaña es global, con presencia en más de 100 países. No obstante, se registra una mayor concentración de afectados en naciones como Rusia, Brasil, Colombia, Chile, Turquía, España, Alemania, Francia, Italia y China. Aunque el software es de uso común entre particulares, los datos de telemetría indican que el 10% de los sistemas comprometidos pertenecen a redes corporativas y gubernamentales.
En un grupo específico de organizaciones dedicadas a los sectores científico, manufacturero, minorista y estatal, se detectó que los atacantes realizaron intervenciones manuales. Estas acciones incluyeron la descarga de troyanos de acceso remoto y otras herramientas de intrusión. A pesar de que se hallaron elementos en idioma chino dentro del código, el ataque no ha sido atribuido a un grupo criminal específico hasta el momento.
Georgy Kucherin, investigador de Kaspersky, señaló que el incidente destaca por su sofisticación, ya que aprovechó la confianza de los usuarios en los proveedores oficiales para operar sin ser detectado durante un mes. Ante esta situación, se recomienda a las empresas aislar cualquier equipo que tenga instalado Daemon Tools y realizar una auditoría profunda de sus redes. Por su parte, los usuarios individuales deben desinstalar la aplicación y analizar sus dispositivos para eliminar cualquier rastro del malware.
Los ataques a la cadena de suministro representaron la amenaza más frecuente para las empresas en el último año, según datos de marzo de 2026. Sin embargo, apenas el 9% de las organizaciones los considera una prioridad. Para enfrentar estos riesgos, los expertos sugieren limitar los privilegios administrativos, auditar a los proveedores de software antes de su instalación y emplear soluciones de monitoreo en tiempo real que identifiquen anomalías incluso en programas que parecen legítimos.
Fuente: Kaspersky
