Daemon Tools狙ったサプライチェーン攻撃、中国語話者ハッカーが関与か　開発者は侵害認めクリーン版をリリース

Daemon Tools狙ったサプライチェーン攻撃、中国語話者ハッカーが関与か　開発者は侵害認めクリーン版をリリース

TechCrunch – May 5, 2026 、BleepingComputer – May 6, 2026

Windows向けディスクドライブ仮想化ソフトウェアDaemon Tools Liteを狙ったサプライチェーン攻撃について、カスペルスキーが報告。同社によれば、12.5.0.2421〜12.5.0.2434までのバージョンが侵害され、悪意あるバックドアが埋め込まれていたという。すでにバックドアを削除した最新版12.6.0.2445がリリースされているものの、それまでにロシア、ベラルーシ、タイなどの国々で感染被害の発生が確認されている。

カスペルスキーが5月5日に報告したところによると、中国語を話す脅威アクターとみられる攻撃者が、DAEMON Tools Liteのインストーラーをトロイの木馬化。2026年4月8日以降、この悪性版インストーラーを使って100か国以上における数千ものシステムにバックドアを仕掛けようとしていたという。同悪性インストーラーをユーザーが実行すると、埋め込まれた悪性コードによりペイロードが展開され、このペイロードにより永続性が確立されるとともに、システム起動時にバックドアがアクティベートされる。

この攻撃で展開される第1段階のマルウェアはベーシックなインフォスティーラー。このスティーラーはホスト名やMACアドレス、実行中のプロセスなどのシステムデータを収集し、攻撃者のサーバーへ送る性能を持つ。その後、これらの情報を踏まえた被害者プロファイリング結果に応じて、コマンド実行やファイルダウンロードなどの性能を持つ軽量のバックドアが展開されるという。また、少なくとも1件の感染事例において、QUIC RATマルウェアが展開されるのをカスペルスキーは観測。このマルウェアは正規のプロセスに悪意あるコードを注入できるほか、複数の通信プロトコルをサポートしているとされる。

カスペルスキーは、ロシア、ベラルーシ、タイの小売・科学・政府・製造関連組織において感染事例を確認しているほか、ロシア、ブラジル、トルコ、スペイン、ドイツ、フランス、イタリア、中国などの国々で個人ユーザーの感染を観測したという。

DAEMON Tools Liteを提供するDisc Soft Limitedはサプライチェーン攻撃の発生を認め、5月5日にマルウェアを削除した新たなバージョンをリリース。影響を受けたのはLiteの無料版のみであり、有料版のLite、DAEMON Tools ProおよびDAEMON Tools Ultraは影響を受けておらず完全に安全であると伝えている。

Disc Softは攻撃者がどのように同社のインフラへ不正にアクセスしたのかや、どのアクターが関与していたのかといった詳細を明かしていない。