Ataque de malware a DAEMON Tools: qué ha pasado y cómo protegerse

Portada » Windows » Ataque de malware a DAEMON Tools: qué ha pasado y cómo protegerse

Durante años, DAEMON Tools ha sido una herramienta casi imprescindible para montar imágenes de disco en Windows. Muchos usuarios la instalaban casi de forma automática, confiando en que, al venir de su web oficial y estar firmada digitalmente, era software seguro. Sin embargo, a comienzos de abril se destapó uno de los incidentes de seguridad más delicados de los últimos tiempos: un ataque a la cadena de suministro que convirtió al propio instalador oficial en vehículo de malware.

Este incidente no se limitó a unas pocas descargas aisladas. Hablamos de miles de equipos comprometidos en más de cien países, con objetivos que van desde usuarios domésticos hasta organismos gubernamentales, instituciones científicas y empresas manufactureras y de retail. En muchos casos, la infección se quedó en una primera etapa de robo de información, pero en una docena de sistemas se desplegaron backdoors avanzados capaces de ejecutar comandos y controlar el equipo de forma remota. Vamos a desgranar con calma qué ha pasado, qué versiones se han visto afectadas, cómo funciona el ataque y, sobre todo, qué puedes hacer para protegerte.

Qué es DAEMON Tools y por qué este ataque es tan delicado

DAEMON Tools es una aplicación veterana para crear unidades virtuales y montar imágenes de disco (ISO, IMG, UDF, BIN, NRG y otros formatos) en Windows. Durante la época dorada de los CD y DVD se convirtió en un estándar de facto y, a día de hoy, sigue teniendo millones de usuarios mensuales en todo el mundo.

Una parte clave del problema es que esta clase de software de emulación necesita acceso de bajo nivel al sistema operativo para funcionar correctamente. Por eso, en la instalación es habitual que el usuario otorgue permisos de administrador sin pensárselo demasiado. Si el instalador está comprometido, esos privilegios se convierten en una autopista para que el malware se incruste profundamente en el sistema.

Según datos de los propios desarrolladores y de firmas de seguridad, la base de usuarios de DAEMON Tools es enorme: más de tres millones de usuarios activos cada mes. Ese volumen, sumado a la confianza que inspira descargar el instalador desde la web oficial y ver que está firmado digitalmente por el desarrollador, explica por qué el ataque ha tenido tanto alcance y ha pasado desapercibido durante semanas.

Un ataque a la cadena de suministro: instaladores oficiales troyanizados

Lo que se ha descubierto no es un troyano más descargado desde webs pirata, sino un ataque a la cadena de suministro de software. Este tipo de campañas no tratan de engañar directamente al usuario final, sino de comprometer la infraestructura o los procesos de distribución del fabricante, para inyectar código malicioso en versiones legítimas del programa.

En el caso de DAEMON Tools, los investigadores de Kaspersky GReAT detectaron que, desde el 8 de abril de 2026, los atacantes estaban distribuyendo instaladores oficialmente firmados y servidos desde el dominio legítimo del proveedor. Es decir, el usuario se descargaba el instalador de siempre, con el mismo certificado digital válido de AVB Disc Soft, pero el paquete contenía binarios modificados con código malicioso.

La campaña se centró principalmente en DAEMON Tools Lite, la versión gratuita. Distintas fuentes coinciden en que las versiones afectadas abarcan desde la 12.5.0.2421 hasta la 12.5.0.2434, y se menciona de forma específica la 12.5.1 como versión comprometida del instalador Lite. Disc Soft ha asegurado que DAEMON Tools Pro, DAEMON Tools Ultra y las versiones de pago no se vieron afectadas, aunque el impacto en la edición Lite ya ha sido enorme.

El detalle más inquietante es que todos los ejecutables troyanizados estaban correctamente firmados con el certificado de AVB Disc Soft. Esa firma digital es, normalmente, uno de los indicadores que muchos usuarios y sistemas de seguridad utilizan para validar que un ejecutable es legítimo. En este caso, esa confianza se volvió en contra de todos: el malware se camufló bajo una apariencia perfecta de legitimidad.

Los analistas destacan que este es ya, al menos, el cuarto ataque a la cadena de suministro de software de gran escala detectado en 2026, tras los incidentes relacionados con eScan, Notepad++ y CPU-Z. DAEMON Tools se suma a una lista preocupante que demuestra que los actores de amenazas están afinando cada vez más este tipo de operaciones.

Versiones, archivos infectados y alcance global

Los informes técnicos coinciden en que el ataque comenzó el 8 de abril de 2026 y se mantuvo activo al menos durante varias semanas, hasta que los proveedores de seguridad y el propio desarrollador reaccionaron. Durante ese periodo, las descargas de DAEMON Tools Lite desde la web oficial incluían código malicioso incrustado.

Las versiones afectadas se sitúan entre la 12.5.0.2421 y la 12.5.0.2434, con especial foco en la DAEMON Tools Lite 12.5.1 según el aviso de Disc Soft. Los atacantes lograron comprometer tres binarios clave que se instalan en el directorio principal de la aplicación:

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

Estos ejecutables se cargan al inicio del sistema o cuando se lanza la aplicación, así que representan un punto ideal para introducir funcionalidad maliciosa con persistencia. Una vez alterados, se convirtieron en el vehículo para desplegar el malware de primera fase y abrir una puerta trasera en los equipos comprometidos.

En cuanto al alcance, la telemetría de Kaspersky muestra miles de intentos de instalación de cargas maliciosas adicionales a través de los instaladores contaminados. Las infecciones se han registrado en más de 100 países y territorios, con una concentración notable en Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China.

La mayoría de los dispositivos infectados pertenecían a usuarios particulares, pero aproximadamente un 10 % de los intentos de instalación se han detectado en sistemas de organizaciones. Entre los casos más graves identificados hay equipos de organismos gubernamentales, instituciones científicas y empresas industriales y minoristas, especialmente en Rusia, Bielorrusia y Tailandia.

Funcionamiento del malware: de recolector de información a backdoor avanzado

Una vez que el usuario ejecuta el instalador troyanizado y completa la instalación de DAEMON Tools, el sistema queda expuesto. El flujo malicioso arranca cuando, al iniciar el equipo o lanzar la aplicación, uno de los binarios comprometidos ejecuta código malicioso incrustado que se aprovecha de la confianza del sistema en los servicios y procesos de la propia herramienta.

Ese código establece una comunicación silenciosa con un servidor de comando y control (C2). El equipo infectado envía una solicitud al servidor, que a cambio puede responder con instrucciones para descargar y ejecutar cargas útiles adicionales. Esto no siempre ocurre de inmediato, ya que el ataque está diseñado en varias fases y con cierto grado de selección de objetivos.

En una primera etapa, los atacantes despliegan un módulo recolector de información del sistema. Este componente se encarga de recopilar datos como:

• Direcciones MAC de las interfaces de red.
• Nombre de host y nombre de dominio DNS.
• Lista de procesos en ejecución.
• Listado de software instalado en el equipo.
• Configuración de idioma y región del sistema.

Una vez recopilada, esa información se envía de nuevo al servidor de comando y control. Con esos datos, los atacantes pueden perfilar a la víctima: tipo de organización, entorno, software utilizado, posibles soluciones de seguridad instaladas, etc. A partir de ahí deciden si merece la pena avanzar a una segunda fase.

En los casos seleccionados, el servidor C2 responde enviando una puerta trasera minimalista al equipo de la víctima. Este backdoor ligero es capaz de descargar cargas maliciosas adicionales, ejecutar comandos de shell y lanzar módulos de shellcode directamente en memoria, reduciendo así el rastro que deja en disco y dificultando la detección forense.

La puerta trasera se utiliza, en algunos escenarios, para desplegar un implante más sofisticado conocido como QUIC RAT. Este troyano de acceso remoto soporta varios protocolos de comunicación con el servidor C2 y es capaz de inyectar cargas maliciosas en procesos legítimos como notepad.exe y conhost.exe, camuflando su actividad bajo aplicaciones aparentemente inocuas.

En otros incidentes de segunda fase observados, los expertos han detectado el uso de inyectores de código y troyanos de acceso remoto previamente desconocidos, lo que refuerza la idea de que estamos ante un actor con capacidades ofensivas avanzadas y herramientas propias, más allá del malware commodity habitual.

Un ataque selectivo con objetivos de alto valor

Aunque las cifras globales de infecciones son significativas, los investigadores dejan claro que la mayoría de los equipos afectados solo sufrieron la etapa inicial, centrada en el reconocimiento y recolección de información. Es decir, muchos usuarios tuvieron datos del sistema exfiltrados, pero no vieron desplegarse funcionalidades más destructivas o intrusivas.

Donde el ataque se vuelve realmente preocupante es en el pequeño subconjunto de sistemas en los que se observó la descarga de cargas secundarias y el uso activo del backdoor. Hablamos de algo más de una docena de equipos pertenecientes a organizaciones de sectores minorista, científico, gubernamental y manufacturero, seleccionados aparentemente de forma muy cuidadosa.

En estos casos concretos, los atacantes desplegaron herramientas adicionales para ejecutar comandos arbitrarios, descargar archivos desde servidores maliciosos, ejecutar código en memoria y moverse potencialmente de forma lateral dentro de las redes comprometidas. El perfil de los objetivos y ciertas inconsistencias en los comandos observados sugieren acciones manuales, no automatizadas, sobre sistemas muy concretos.

En el código del malware se han encontrado elementos escritos en chino, lo que, de entrada, podría apuntar a un actor de habla china. Sin embargo, los propios analistas advierten de que este tipo de detalles pueden utilizarse como táctica de engaño o bandera falsa, de modo que, por ahora, la campaña no se ha atribuido oficialmente a ningún grupo conocido.

Detección tardía, sofisticación y respuesta de los implicados

Uno de los aspectos que más preocupan a los especialistas es que el ataque haya logrado evadir las defensas tradicionales durante casi un mes. Georgy Kucherin, investigador senior de Kaspersky GReAT, ha subrayado que el uso de software firmado digitalmente y distribuido desde una fuente oficial permite saltarse muchos de los filtros de confianza que emplean tanto usuarios como soluciones de seguridad.

Durante buena parte de abril, quienes descargaban DAEMON Tools Lite desde la web oficial recibían de forma transparente una versión troyanizada sin indicios visibles de anomalía. Este retraso en la detección evidencia un alto grado de sofisticación por parte de los atacantes y vuelve a poner sobre la mesa la necesidad de reforzar la seguridad en toda la cadena de desarrollo y distribución de software.

Una vez identificado el problema, Kaspersky y otros proveedores de seguridad comenzaron a detectar y bloquear activamente los instaladores comprometidos. De forma paralela, AVB Disc Soft y Disc Soft Limited reaccionaron auditando su infraestructura, identificando paquetes afectados y publicando una versión corregida de DAEMON Tools Lite.

Disc Soft afirma que el instalador comprometido de DAEMON Tools Lite fue eliminado y sustituido por una compilación limpia. La compañía asegura que el incidente afectó a la versión gratuita 12.5.1 y que las ediciones Pro, Ultra y de pago no se vieron afectadas. La nueva versión DAEMON Tools Lite 12.6.0.2445, liberada el 5 de mayo, no incluye los archivos sospechosos de haber sido manipulados.

Por su parte, Kaspersky ha confirmado que la versión 12.6.0.2445 ya no contiene los componentes maliciosos y que sus soluciones son capaces de detectar y neutralizar tanto los instaladores troyanizados como las cargas adicionales desplegadas en la campaña.

Riesgos reales para usuarios domésticos y empresas

Para los usuarios domésticos que instalaron DAEMON Tools Lite durante el periodo comprometido, el principal problema es que su equipo haya actuado, al menos, como fuente de información para los atacantes. Los datos recopilados (MAC, host, software, procesos, idioma, etc.) pueden parecer poco críticos, pero en conjunto ofrecen un mapa bastante preciso del entorno del usuario.

En el peor de los escenarios, aquellos sistemas seleccionados para recibir la segunda fase de la infección quedan expuestos a ejecución remota de comandos, descarga de archivos adicionales, ejecución de código en memoria y potencial robo o manipulación de información. La presencia de herramientas como QUIC RAT o backdoors ligeros con capacidades de shell convierte a la máquina en un punto de entrada para ataques más complejos, incluyendo el movimiento lateral dentro de redes domésticas o corporativas.

En entornos empresariales, el impacto potencial es todavía mayor. DAEMON Tools, aunque más habitual en contextos personales, también se utiliza en algunas redes corporativas para gestionar imágenes de disco o entornos de pruebas. Si un solo equipo corporativo instala un instalador comprometido, los atacantes pueden ganar un punto de apoyo dentro de la red, desde el que lanzar exploración, escalar privilegios o robar información sensible; por eso es crucial que implementen backups cifrados.

Los expertos destacan el riesgo de que, desde esa posición inicial, los atacantes implementen movimientos laterales, exfiltración de datos críticos y ataques selectivos contra activos de alto valor. Además, si el malware logra comprometer credenciales o tokens de acceso, el peligro se amplifica al incluir VPNs corporativas, servicios en la nube y otros sistemas más allá del propio equipo afectado.

En un contexto en el que los ataques a la cadena de suministro de software son cada vez más frecuentes, incidentes como el de DAEMON Tools revelan hasta qué punto confiar ciegamente en la firma digital y en la web oficial ya no es suficiente. Es necesario complementar estas garantías con monitorización de comportamiento, seguridad en redes, control de aplicaciones y auditorías periódicas.

Cómo saber si estás afectado y qué hacer para protegerte

Si has utilizado DAEMON Tools en tu PC (o en equipos de tu organización), especialmente si instalaste o actualizaste la aplicación entre el 8 de abril y la publicación de la versión 12.6.0.2445, conviene que tomes medidas cuanto antes. Las recomendaciones de los expertos se pueden resumir en varios frentes.

Lo primero es verificar qué versión tienes instalada. Si tu sistema cuenta con DAEMON Tools Lite en alguna versión comprendida entre la 12.5.0.2421 y la 12.5.0.2434, o concretamente la 12.5.1 descargada en abril, la opción más prudente es desinstalarla de inmediato. Disc Soft y diferentes firmas de seguridad coinciden en que esa rama de versiones es la que se ha visto comprometida.

Después de eliminar la aplicación, resulta esencial lanzar un análisis antivirus completo con una solución de seguridad de confianza. Herramientas como las de Kaspersky o suites integrales tipo Bitdefender Ultimate Security están preparadas para detectar restos de malware, comportamiento sospechoso y riesgos asociados a credenciales incluso cuando la aplicación original ya se ha eliminado.

En un entorno corporativo, las recomendaciones se endurecen. Las organizaciones deberían auditar su red para identificar cualquier presencia de DAEMON Tools Lite, especialmente en la versión 12.5.1 instalada después del 8 de abril. Los equipos afectados conviene aislarlos temporalmente de la red y revisar con lupa cualquier actividad inusual: ejecuciones de comandos no autorizados, procesos extraños, conexiones salientes a dominios desconocidos o indicios de movimiento lateral.

Completada la limpieza, si se desea seguir utilizando la aplicación, hay que asegurarse de descargar exclusivamente la versión 12.6.0.2445 o posteriores desde la web oficial, ya que estas compilaciones han sido revisadas y, según los análisis disponibles, no contienen los binarios comprometidos. Aun así, muchos expertos aconsejan plantearse abandonar DAEMON Tools en favor de alternativas más transparentes y de código abierto, como WinCDEmu en Windows.

Más allá de este caso concreto, el incidente de DAEMON Tools pone de relieve la necesidad de reforzar las políticas de seguridad alrededor del software de terceros, limitar los privilegios de instalación, aplicar el principio de mínimo privilegio y mantener una monitorización continua de los equipos con acceso a internet.

Todo lo ocurrido con DAEMON Tools ilustra muy bien cómo un programa tremendamente popular y aparentemente fiable puede transformarse, de un día para otro, en un vector de ataque global capaz de comprometer miles de sistemas. La combinación de instaladores oficiales firmados, acceso de bajo nivel al sistema y un actor con recursos ha permitido que el ataque se mantuviera activo casi un mes y pusiera en jaque tanto a usuarios de a pie como a organismos de alto perfil en más de cien países. A la vista de la escala del incidente y de la creciente frecuencia de ataques similares en otras aplicaciones, conviene asumir que la confianza en el software debe ir siempre acompañada de controles adicionales, auditorías y una respuesta rápida ante cualquier señal de anomalía, empezando por revisar con lupa herramientas tan extendidas como DAEMON Tools cuando surgen indicios de compromiso.