仮想ドライブソフト「Daemon Tools」の公式サイトを通じて、マルウェアを仕込んだ改ざんインストーラーが配布されていたことが分かった。Kasperskyによると、これはサプライチェーン攻撃の一環で、現地時間8日以降の約1カ月にわたり発覚しなかったという。

Techzineなどの報道によれば、Kasperskyのグローバル調査分析チーム（GReAT）は、不正なインストーラーがDaemon Toolsの公式配布元サイトから直接配布されていたと明らかにした。影響を受けたバージョンは12.5.0.2421〜12.5.0.2434。

Kasperskyによると、3つの主要実行ファイルが改ざんされ、端末の起動時にバックドアが動作する仕組みになっていた。仮想ドライブソフトは一般に高い管理者権限を求めるため、マルウェアがOSの深部に定着する恐れがあるとしている。

同社は、100カ国以上で数千件の感染試行を確認した。被害端末の約10%は企業に属していた。大半の端末には、MACアドレス、ホスト名、実行中のプロセス、インストール済みソフトウェア、言語設定などを収集する情報窃取型のペイロードだけが配布されたという。

一方で、ロシア、ベラルーシ、タイの小売、科学、政府、製造分野の組織に属する10台余りの端末では、攻撃者がシェルコードインジェクターと未知のリモートアクセスツール（RAT）を手動で配布したとしている。

Kasperskyのシニアセキュリティリサーチャー、ゲオルギ・クチェリン氏は、「ユーザーは、公式ベンダーから直接ダウンロードしたデジタル署名付きソフトウェアを正規のものとして信頼しやすい。こうした攻撃は従来型の境界防御をすり抜ける」と指摘した。Kasperskyは今回の事案について、2023年の3CXサプライチェーン攻撃と同様、約1カ月にわたり検知されなかった点を挙げている。

今回のDaemon Toolsの事案は、Kasperskyが2026年に入って確認した4件目のサプライチェーン侵害だという。Kasperskyのテレメトリーでは、2025年末時点でオープンソースプロジェクトから見つかった悪性パッケージは約1万9500件となり、前年から37%増加した。

Daemon Toolsの開発元AVB Disc Softは、今回のマルウェア混入についてすでに連絡を受けたという。Kasperskyは、悪意あるコードが埋め込まれたインストールファイルを検知して実行をブロックしているとした上で、Daemon Toolsを導入した端末の隔離と、8日以降に不審な活動がなかったかの確認を推奨している。