Ataque de malware a DAEMON Tools: todo lo que debes saber

Última actualización: 17/05/2026
Autor: Isaac
  • Instaladores oficiales de DAEMON Tools Lite fueron comprometidos entre las versiones 12.5.0.2421 y 12.5.0.2434 mediante un ataque a la cadena de suministro.
  • Los binarios modificados desplegaron un recolector de información, una puerta trasera ligera y, en casos seleccionados, el RAT avanzado QUIC RAT.
  • La campaña afectó a miles de equipos en más de 100 países, pero solo una docena de objetivos de alto valor sufrió la segunda fase del ataque.
  • Se recomienda eliminar versiones afectadas, analizar los sistemas con seguridad fiable, actualizar a la versión limpia 12.6.0.2445 y reforzar controles sobre software firmado.

daemon tools ataque malware

La noticia ha caído como un jarro de agua fría en el mundo de la ciberseguridad: las versiones oficiales de DAEMON Tools Lite han sido utilizadas para distribuir malware a escala global mediante un ataque a la cadena de suministro extremadamente bien preparado. Lo más inquietante es que los instaladores maliciosos se descargaban directamente desde la web legítima del desarrollador y estaban firmados digitalmente, por lo que parecían totalmente de confianza para cualquier usuario.

En las últimas semanas, distintos informes de empresas especializadas como Kaspersky han ido desgranando cómo los atacantes consiguieron colar una puerta trasera en el propio proceso de instalación de DAEMON Tools, afectando a miles de equipos en más de un centenar de países. Aunque buena parte de las infecciones se quedó en una primera fase de espionaje y recolección de datos, un pequeño grupo de víctimas seleccionadas sufrió un compromiso mucho más serio, con control remoto casi total del sistema.

Qué es DAEMON Tools y por qué este ataque es tan preocupante

Para entender la gravedad del asunto, conviene recordar que DAEMON Tools es una herramienta veterana y muy popular para montar imágenes de disco (ISO, IMG, BIN, NRG, UDF y otros formatos) como si fueran unidades físicas de CD, DVD o Blu‑ray, y existen alternativas para montar unidades virtuales en Windows. Durante años fue casi un estándar de facto para gestionar este tipo de archivos en Windows, y todavía hoy cuenta con millones de usuarios mensuales, tanto domésticos como corporativos.

Este tipo de programas resulta especialmente delicado porque suele instalarse con privilegios elevados y tiene acceso a componentes sensibles del sistema. Si el instalador está manipulado, el daño potencial no se limita a un usuario sin privilegios, sino que puede abrir la puerta a un compromiso profundo del equipo y, en redes corporativas, facilitar el movimiento lateral hacia otros dispositivos.

En este caso, los atacantes no recurrieron a webs falsas ni a cracks dudosos: lograron comprometer el propio canal oficial de distribución de DAEMON Tools Lite. Los usuarios descargaban el instalador desde el sitio auténtico, con un certificado digital válido de AVB Disc Soft (el desarrollador del producto), y lo ejecutaban con total confianza. Desde el punto de vista de la seguridad tradicional, casi todos los indicadores apuntaban a que el archivo era legítimo.

Por si fuera poco, los binarios infectados formaban parte de la instalación estándar: los ejecutables troyanizados se copiaban en la carpeta principal de DAEMON Tools y se ejecutaban con el arranque del sistema, lo que ofrecía a los atacantes persistencia y la capacidad de comunicarse de forma silenciosa con infraestructuras remotas.

Cronología del ataque y versiones de DAEMON Tools afectadas

La campaña maliciosa se remonta al 8 de abril de 2026, fecha a partir de la cual comenzaron a circular instaladores manipulados de DAEMON Tools Lite desde la propia web del proveedor. Durante varias semanas, los atacantes consiguieron mantener el compromiso sin ser detectados, aprovechando tanto el canal oficial de distribución como firmas digitales válidas.

Los análisis publicados coinciden en que las versiones comprometidas de DAEMON Tools Lite abarcan desde la 12.5.0.2421 hasta la 12.5.0.2434. Cualquier instalación o actualización realizada dentro de ese rango de versiones y a partir de principios de abril de 2026 debe considerarse de riesgo y ser revisada de forma minuciosa.

Dentro de esas versiones, tres binarios legítimos fueron modificados para incluir el código malicioso:

  • DTHelper.exe
  • DiscSoftBusServiceLite.exe
  • DTShellHlp.exe

Estos ejecutables, que normalmente se instalan en el directorio principal de DAEMON Tools, se convirtieron en el vector principal de la infección. Al ejecutarse, establecían contacto con la infraestructura de comando y control (C2) de los atacantes y lanzaban el resto de la cadena de ataque.

  Qué mirar tras un incidente de ciberseguridad en tu empresa

Una vez descubierto el incidente y tras la colaboración con investigadores de seguridad, AVB Disc Soft publicó una versión corregida de DAEMON Tools Lite. La versión 12.6.0.2445 se considera limpia y no contiene los binarios troyanizados ni los componentes maliciosos integrados en la campaña.

Cómo funciona la infección: cadena de suministro y puerta trasera

Desde el punto de vista técnico, el incidente encaja perfectamente en el patrón de ataque a la cadena de suministro de software. En lugar de engañar al usuario para que descargue un archivo sospechoso, los ciberdelincuentes centraron sus esfuerzos en comprometer el proceso de empaquetado y distribución de DAEMON Tools Lite, insertando el código malicioso directamente en los instaladores oficiales.

El instalador malicioso, una vez ejecutado por el usuario, desplegaba una primera fase de malware incrustada en los binarios de DAEMON Tools. Esta fase inicial actuaba como cargador: tras asegurarse la persistencia mediante la ejecución automática en el arranque, establecía comunicación con un servidor de comando y control remoto.

Los investigadores identificaron que estos binarios modificados se comunicaban con dominios maliciosos, entre ellos env-check.daemontools.cc, enviando peticiones que en apariencia podían pasar desapercibidas dentro del tráfico habitual del sistema. A cambio, el servidor C2 respondía con instrucciones para descargar y ejecutar nuevas cargas útiles.

Entre las cargas adicionales detectadas se encuentran archivos como envchk.exe, cdg.exe y cdg.tmp, que funcionaban como componentes auxiliares para cargar la puerta trasera ligera y, en la fase más avanzada, un RAT (herramienta de acceso remoto) basado en el protocolo QUIC, conocido como QUIC RAT.

El diseño modular de la campaña permitía a los atacantes adaptar el grado de intrusión al valor de la víctima. La primera fase se desplegó de manera masiva a miles de máquinas, mientras que las fases posteriores solo se activaron en un número muy limitado de equipos, seleccionados a partir de la información recopilada en el reconocimiento inicial.

Qué hace exactamente el malware: de recolector de datos a QUIC RAT

Una vez que DAEMON Tools Lite infectado se instalaba en el equipo, el sistema quedaba marcado por un conjunto de procesos maliciosos persistentes que se activaban con cada reinicio. El paso inicial siempre era la recopilación de información básica del dispositivo comprometido, una fase de reconocimiento esencial para perfilar objetivos.

El malware de primera fase actuaba como un recolector de información muy centrado en datos de sistema y entorno (por ejemplo, usar Process Hacker en Windows para analizar listados). Entre la información que enviaba al servidor de comando y control se incluyen:

  • Dirección MAC de las interfaces de red.
  • Nombre de host del equipo.
  • Nombre de dominio DNS asociado, cuando lo había.
  • Listado de procesos en ejecución en ese momento.
  • Listado de software instalado.
  • Configuración regional e idioma del sistema.

Con estos datos en la mano, los atacantes podían clasificar los dispositivos y decidir dónde merecía la pena desplegar capacidades más intrusivas. La mayoría de las máquinas solo sufrieron esta parte de espionaje ligero, pero en algunas, el servidor C2 respondió enviando una segunda carga: una puerta trasera minimalista con capacidades de control remoto.

Esta puerta trasera ligera era capaz de descargar y ejecutar nuevas cargas útiles, lanzar comandos de shell y ejecutar módulos de shellcode directamente en memoria, reduciendo el rastro en disco y dificultando la detección. Servía como trampolín para desplegar un implante mucho más avanzado: QUIC RAT.

QUIC RAT destaca por su uso de múltiples protocolos de comunicación para hablar con la infraestructura de comando y control, incluyendo el protocolo QUIC, pensado originalmente para mejorar el rendimiento de conexiones web. Esta elección ayuda a camuflar el tráfico malicioso entre conexiones aparentemente legítimas.

Además, el RAT es capaz de inyectar código malicioso dentro de procesos legítimos como notepad.exe y conhost.exe, una técnica clásica para esconder su actividad detrás de programas que el usuario reconoce y que los sistemas de seguridad suelen considerar benignos. Desde ahí, los atacantes pueden ejecutar comandos, descargar más archivos, espiar la actividad de la máquina y, potencialmente, desplazarse por la red interna.

Víctimas, alcance geográfico y tipo de objetivos

Los datos recopilados por Kaspersky y otras firmas muestran que el alcance de la campaña fue global, con miles de intentos de infección en más de cien países y territorios. DAEMON Tools, al ser un software tan extendido, sirvió como vehículo ideal para colarse tanto en hogares como en empresas de perfiles muy variados.

  Xuper TV (anterior Magis TV): riesgos, legalidad y alternativas seguras

A nivel geográfico, los países con mayor número de dispositivos afectados incluyen Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China, entre otros. Aun así, se han observado víctimas esparcidas prácticamente por todo el planeta, desde Europa y América Latina hasta Asia.

En cuanto al perfil de las víctimas, la mayoría eran usuarios particulares que instalaban DAEMON Tools en sus ordenadores personales, pero aproximadamente un 10 % de los intentos de instalación de cargas maliciosas adicionales se detectaron en equipos pertenecientes a organizaciones.

Lo realmente llamativo es que solo una docena de equipos llegó a recibir la segunda fase más agresiva de la campaña, es decir, la puerta trasera ligera y la posterior implantación de QUIC RAT. Estos objetivos de alto valor incluían:

  • Organismos gubernamentales.
  • Instituciones y centros de investigación científica.
  • Empresas industriales y manufactureras.
  • Comercios minoristas y compañías del sector retail, principalmente en Rusia, Bielorrusia y Tailandia.

Este patrón encaja con un ataque claramente dirigido, en el que se usa una campaña masiva de primera fase para pescar un gran volumen de máquinas y, a partir de ahí, seleccionar cuidadosamente un subconjunto muy pequeño de dispositivos que merecen una intrusión más profunda y persistente.

Hasta el momento, no hay una atribución pública y concluyente sobre quién está detrás de la operación. Algunos componentes del malware contienen fragmentos en chino, pero los propios analistas recuerdan que estos detalles pueden ser falsos indicios introducidos de forma deliberada para confundir y desviar la investigación hacia otros posibles actores.

Impacto en empresas y entornos corporativos

Más allá de los usuarios domésticos, el incidente tiene implicaciones especialmente serias para entornos corporativos. En muchas organizaciones, DAEMON Tools u otras herramientas similares se instalan con permisos administrativos para facilitar la gestión de imágenes de disco en estaciones de trabajo y servidores.

En ese contexto, un instalador troyanizado ofrece a los atacantes un punto de apoyo privilegiado dentro de la red interna. La combinación de persistencia, capacidad de ejecución remota de comandos y posibilidad de descargar módulos adicionales convierte a este malware en una puerta de entrada ideal para:

  • Robo de información sensible almacenada en los equipos comprometidos.
  • Movimiento lateral hacia otros sistemas conectados a la misma red.
  • Escalado de privilegios si se detectan configuraciones débiles o vulnerabilidades adicionales.
  • Compromiso prolongado mediante implantación de RAT y backdoors persistentes.

Además, el uso de certificados digitales válidos y descargas desde dominios oficiales hace que muchos controles tradicionales de seguridad -como listas blancas basadas en firmas o validación superficial de certificados- resulten insuficientes. En entornos donde se confía de forma automática en todo lo que llega de proveedores «de confianza», este tipo de ataques a la cadena de suministro son especialmente peligrosos.

En términos operativos, la campaña también demuestra la capacidad de los atacantes para ocultar tráfico malicioso dentro de protocolos y procesos aparentemente legítimos. El uso de HTTP/HTTPS hacia dominios que se parecen a los oficiales, combinado con QUIC y la inyección en procesos comunes de Windows, complica mucho la detección basada solo en patrones simples.

Medidas de mitigación recomendadas para usuarios y organizaciones

Ante un incidente de este calibre, los expertos recomiendan actuar con rapidez y método, especialmente si se ha instalado DAEMON Tools Lite en abril de 2026 o se está usando alguna de las versiones afectadas. No se trata solo de desinstalar el programa y olvidarse, sino de comprobar con cuidado que no quede ningún resto malicioso.

En primer lugar, es fundamental identificar si el sistema ha llegado a ejecutar alguna de las versiones comprometidas (12.5.0.2421 hasta 12.5.0.2434). Si es el caso, conviene revisar:

  • La presencia y el comportamiento de DTHelper.exe, DiscSoftBusServiceLite.exe y DTShellHlp.exe en el directorio de instalación.
  • La existencia de archivos sospechosos como envchk.exe, cdg.exe o cdg.tmp en rutas temporales o subcarpetas asociadas.
  • Conexiones de red salientes hacia dominios anómalos, en especial peticiones HTTP hacia env-check.daemontools.cc u otros dominios vinculados por los informes técnicos.

AVB Disc Soft y las empresas de seguridad recomiendan a los usuarios afectados eliminar las versiones Lite comprometidas, ejecutar un análisis completo del sistema con una solución de seguridad fiable (por ejemplo, consultar los mejores antivirus de código abierto) y actualizar a la versión 12.6.0.2445 o superior, que ya no contiene los binarios manipulados.

  Windows Hello para empresas, claves de hardware y SSO

En el caso de las empresas, las medidas deben ir un paso más allá. Los expertos aconsejan aislar los endpoints donde DAEMON Tools estuvo instalado durante el periodo de riesgo, revisar cuidadosamente los registros de actividad y supervisar cualquier rastro de comportamiento típico de puertas traseras (ejecución de comandos remotos, tráfico inusual, procesos inyectados, etc.).

También resulta clave verificar la integridad de los instaladores firmados que se utilicen dentro de la organización. No basta con confiar en la firma digital: es recomendable aplicar controles adicionales, como validación de hashes oficiales, enclaves de instalación controlados y limitación de qué usuarios y equipos pueden instalar software de terceros.

En cuanto a la detección, conviene actualizar las reglas de seguridad en endpoints y sistemas de monitorización para identificar:

  • Los tres ejecutables comprometidos.
  • Los nombres de archivos asociados a las cargas adicionales.
  • Patrones de comunicación con los dominios C2 conocidos.
  • Actividad anómala en procesos como notepad.exe o conhost.exe, que puedan haber sido utilizados para inyección.

Cualquier sistema en el que se confirme la presencia de la puerta trasera o del RAT debe ponerse en cuarentena inmediatamente, analizarse en profundidad y, si es necesario, reconstruirse desde cero para garantizar que no quedan implantes ocultos.

Lecciones de seguridad: la fragilidad de la cadena de suministro

El caso de DAEMON Tools se suma a una lista cada vez más larga de ataques a la cadena de suministro de software detectados en los últimos tiempos. En lo que va de año se han visto incidentes similares que afectaron a soluciones como eScan, Notepad++ o CPU‑Z, por citar algunos ejemplos mencionados en los propios informes.

El patrón es claro: los atacantes apuntan a proveedores de confianza para convertir su software en caballo de Troya. En lugar de invertir recursos en engañar uno a uno a los usuarios, prefieren comprometer el eslabón central de la cadena -el proceso de construcción y distribución- y dejar que la reputación de la marca haga el resto.

Este enfoque tiene varias ventajas para los ciberdelincuentes. Por un lado, aumenta drásticamente el número de víctimas potenciales, al aprovechar la base de usuarios ya existente. Por otro, dificulta la detección, ya que muchos mecanismos automáticos consideran que un archivo firmado y descargado desde el dominio oficial es fiable por defecto.

Para defenderse de estas amenazas, tanto usuarios como empresas deben replantearse la confianza ciega en las actualizaciones automáticas y en las firmas digitales. Siguen siendo piezas importantes del puzzle, pero no pueden ser el único criterio para decidir si algo es seguro o no. Hace falta combinar controles de integridad, segmentación de redes, monitorización avanzada de comportamiento y planes de respuesta ante incidentes bien ensayados.

Debido al enorme tirón de herramientas como DAEMON Tools y al hecho de que millones de personas dan por hecho que lo que se descarga desde una web oficial es «seguro», es bastante probable que veamos más campañas de este estilo en el futuro. Las organizaciones deberán reforzar la seguridad en todo el ciclo de vida del software, desde el desarrollo hasta la distribución, si quieren mantener a raya este tipo de ataques.

La combinación de un producto tan conocido, un canal oficial comprometido, binarios firmados digitalmente y una cadena de infección en varias fases con RAT avanzado demuestra hasta qué punto la confianza en el ecosistema de software puede convertirse en un arma de doble filo. Este incidente deja claro que, incluso cuando todo parece legítimo a simple vista, conviene mantener un punto de desconfianza sana y revisar cualquier anomalía en el comportamiento de nuestros equipos, sobre todo si hemos instalado DAEMON Tools Lite en las versiones y fechas afectadas.

3 mejores emuladores de imágenes ISO para Windows-0
Related article:
3 mejores emuladores de imágenes ISO para Windows