Daemon Tools malware diventa un caso delicato di attacco alla supply chain, perché il software dannoso sarebbe stato distribuito tramite il sito ufficiale del vendor.

La scoperta arriva dal Global Research and Analysis Team di Kaspersky, che ha individuato un attacco in corso contro Daemon Tools, noto software per la simulazione di unità virtuali.

Il punto più critico riguarda la modalità di diffusione. L’installer compromesso installava l’applicazione legittima, ma anche componenti dannosi capaci di aprire una backdoor sul dispositivo.

In questo modo gli autori dell’attacco potevano eseguire comandi arbitrari e controllare da remoto i sistemi infetti.

Daemon Tools malware distribuito dal sito ufficiale

Secondo l’analisi di Kaspersky, l’attività sarebbe partita dall’8 aprile 2026.

I cybercriminali avrebbero distribuito il software modificato direttamente dal dominio principale del produttore. Questo ha reso l’attacco più difficile da notare, perché il download proveniva da una fonte ritenuta affidabile.

A rendere il caso ancora più serio c’è la firma digitale. Il malware sarebbe stato nascosto dietro un regolare certificato digitale dello sviluppatore.

L’injection dannosa avrebbe coinvolto Daemon Tools dalla versione 12.5.0.2421 fino alla versione attuale indicata nel comunicato.

Kaspersky ha informato AVB Disc Soft, sviluppatore di Daemon Tools, per permettere l’avvio delle azioni correttive.

Perché l’attacco è pericoloso

Daemon Tools richiede privilegi elevati per funzionare correttamente.

I software di virtualizzazione dei dischi devono infatti accedere a basso livello al sistema operativo. Durante l’installazione, molti utenti concedono quindi privilegi amministrativi senza particolari sospetti.

In questo scenario, il malware integrato nell’installer ottiene un vantaggio immediato. Può inserirsi più in profondità nel sistema e aumentare la propria capacità di permanenza.

Gli autori dell’attacco avrebbero manomesso i file binari legittimi per eseguire codice dannoso all’avvio del processo. Inoltre, avrebbero usato un servizio Windows legittimo per mantenere la persistenza sull’host.

Daemon Tools malware: attacco globale in oltre 100 Paesi

I dati di telemetria Kaspersky indicano una diffusione ampia.

Gli aggiornamenti compromessi sarebbero arrivati in oltre 100 Paesi e regioni. Le aree con più vittime includono Russia, Brasile, Turchia, Spagna, Germania, Francia, Italia e Cina.

Il dato italiano rende la notizia rilevante anche per utenti e aziende nel nostro Paese.

La presenza di Daemon Tools in ambito consumer può far pensare a un rischio limitato ai privati. In realtà, Kaspersky segnala che il 10% dei sistemi colpiti appartiene ad aziende e organizzazioni.

Questo cambia lo scenario. Un software installato su un singolo endpoint aziendale può diventare un punto di ingresso nella rete interna.

Payload aggiuntivi e attività manuale

Su un gruppo ristretto di poco più di dieci macchine, Kaspersky GReAT ha osservato una fase successiva più mirata.

Questi sistemi appartenevano a organizzazioni attive nei settori retail, scientifico, governativo e manifatturiero.

In questi casi, gli autori dell’attacco avrebbero distribuito manualmente payload aggiuntivi. Tra questi figurano un injector di shellcode e Remote Access Trojan finora sconosciuti.

Il profilo delle vittime e alcuni errori nei comandi eseguiti suggeriscono un’attività manuale contro obiettivi scelti. Kaspersky ha individuato anche artefatti in lingua cinese, ma non attribuisce la campagna a un gruppo noto.

Daemon Tools malware e rischio per le aziende

Il caso Daemon Tools malware mostra bene perché gli attacchi alla supply chain sono difficili da gestire.

L’utente scarica il programma dal sito ufficiale. Il software appare legittimo. La firma digitale aumenta la fiducia. Nel frattempo, il componente dannoso entra nel sistema.

Secondo Georgy Kucherin, Senior Security Researcher di Kaspersky GReAT, una violazione di questo tipo aggira molte difese tradizionali perché sfrutta la fiducia nel software firmato e distribuito dal fornitore.

Per le aziende, il rischio non riguarda solo l’infezione iniziale. Riguarda anche comandi non autorizzati, movimento laterale e possibili attività successive dentro la rete.

Cosa devono fare gli utenti

Gli utenti privati dovrebbero verificare subito la presenza di Daemon Tools sul proprio PC.

Chi ha installato una versione coinvolta dovrebbe rimuovere l’applicazione compromessa ed eseguire una scansione completa del sistema.

È importante controllare anche eventuali comportamenti anomali. Avvii insoliti, rallentamenti, connessioni sospette o processi non riconosciuti possono indicare attività malevole.

In questi casi conviene usare una soluzione di sicurezza aggiornata e non limitarsi alla sola disinstallazione del programma.

Cosa devono fare le aziende

Le aziende dovrebbero cercare Daemon Tools Lite nelle proprie reti e isolare gli endpoint interessati.

La priorità è impedire ulteriori movimenti dentro l’infrastruttura. Serve quindi monitorare esecuzione di comandi non autorizzati, attività anomale e possibili tentativi di movimento laterale.

Kaspersky consiglia anche di rafforzare i controlli sulle applicazioni di terze parti. Prima di autorizzare un software negli ambienti aziendali, andrebbero valutati vendor, sicurezza, vulnerabilità e conformità alle policy interne.

Altro passaggio utile riguarda i privilegi. Il principio del privilegio minimo e un modello zero-trust riducono il margine d’azione se un’app considerata affidabile viene compromessa.

Supply chain ancora sottovalutata

Il caso Daemon Tools arriva in un periodo in cui gli attacchi alla supply chain stanno diventando sempre più frequenti.

Secondo una ricerca Kaspersky di marzo 2026, questa categoria è stata la minaccia informatica più diffusa affrontata dalle aziende nei 12 mesi precedenti.

Nonostante questo, solo il 9% delle organizzazioni l’ha indicata tra le principali preoccupazioni.

Il dato mostra una distanza tra rischio reale e percezione aziendale. Gli attacchi alla supply chain sfruttano proprio questa zona grigia: software noti, canali ufficiali e fiducia implicita.

Per questo servono controlli continui, playbook aggiornati e strumenti di rilevamento capaci di intercettare anomalie anche quando arrivano da programmi apparentemente legittimi.