Website chính thức của Daemon Tools đã phát tán các trình cài đặt bị chèn mã độc trong gần một tháng, theo cảnh báo từ Kaspersky. Sự cố được xác định là một vụ tấn công chuỗi cung ứng, ảnh hưởng các phiên bản Daemon Tools từ 12.5.0.2421 đến 12.5.0.2434.

Theo Techzine và nhóm Nghiên cứu, Phân tích Toàn cầu (GReAT) của Kaspersky, các bộ cài độc hại được phân phối trực tiếp qua website của nhà cung cấp chính thức từ ngày 8/4 theo giờ địa phương và không bị phát hiện trong gần một tháng.

Kaspersky cho biết ba tệp thực thi quan trọng đã bị sửa đổi để kích hoạt backdoor mỗi khi hệ thống khởi động. Do phần mềm ổ đĩa ảo thường được cấp quyền quản trị cao, mã độc có thể duy trì hiện diện sâu trong hệ điều hành.

Hãng bảo mật này đã ghi nhận hàng nghìn nỗ lực lây nhiễm tại hơn 100 quốc gia, trong đó khoảng 10% hệ thống bị ảnh hưởng là của doanh nghiệp. Trên phần lớn thiết bị, kẻ tấn công chỉ triển khai payload thu thập thông tin như địa chỉ MAC, tên máy chủ, tiến trình đang chạy, phần mềm đã cài đặt và cấu hình ngôn ngữ.

Tại hơn 10 thiết bị thuộc các tổ chức trong lĩnh vực bán lẻ, khoa học, chính phủ và sản xuất ở Nga, Belarus và Thái Lan, kẻ tấn công còn triển khai thủ công công cụ tiêm shellcode cùng các công cụ truy cập từ xa (RAT) chưa từng được công bố trước đó.

Ông Georgy Kucherin, chuyên gia nghiên cứu bảo mật cấp cao của Kaspersky, cho biết người dùng thường mặc định tin tưởng phần mềm được ký số và tải trực tiếp từ nhà cung cấp chính thức. Điều này khiến các cuộc tấn công dạng này có thể qua mặt những lớp phòng thủ truyền thống. Theo Kaspersky, vụ việc có điểm tương đồng với cuộc tấn công chuỗi cung ứng nhằm vào 3CX năm 2023, khi mối đe dọa cũng không bị phát hiện trong khoảng một tháng.

Sự cố liên quan đến Daemon Tools là vụ tấn công chuỗi cung ứng thứ tư được Kaspersky ghi nhận từ đầu năm 2026. Theo dữ liệu telemetry của hãng, đến cuối năm 2025, số gói độc hại bị phát hiện trong các dự án mã nguồn mở đã lên khoảng 19.500, tăng 37% so với một năm trước.

Nhà phát triển Daemon Tools là AVB Disc Soft đã được Kaspersky thông báo về sự cố. Hãng bảo mật cho biết đang phát hiện và chặn việc thực thi các tệp cài đặt bị chèn mã độc, đồng thời khuyến nghị cô lập những thiết bị đã cài Daemon Tools và rà soát các dấu hiệu bất thường phát sinh từ ngày 8/4.