Un grupo de hackers con vínculos aparentes con China consiguió infiltrarse en la cadena de distribución de Daemon Tools, uno de los programas más conocidos para emular unidades de CD y DVD en Windows. Desde el pasado 8 de abril, quien descargaba el software desde la página oficial estaba instalando, sin saberlo, un programa espía junto con la herramienta legítima.
El hallazgo corresponde a Kaspersky, que detectó la operación después de semanas activa y con miles de equipos afectados en más de cien países, incluido España. Lo preocupante aquí es que no hablamos de una web falsa ni de un enlace trucado: el malware venía directamente del sitio oficial del desarrollador, firmado con su propio certificado digital.
Así funcionaba el ataque a la cadena de suministro de Daemon Tools
Los atacantes consiguieron insertar código malicioso en los archivos de instalación de varias versiones del programa, concretamente desde la 12.5.0.2421 hasta la 12.5.0.2434. Para evitar que los antivirus saltaran, firmaron todo con el certificado legítimo de AVB Disc Soft, la empresa letona que desarrolla Daemon Tools. O sea, a efectos prácticos el instalador parecía completamente limpio.
La puerta trasera solo infectó a una docena de máquinas en agencias gubernamentales, instituciones científicas y empresas manufactureras, así como en puntos de venta minorista en Rusia, Bielorrusia y Tailandia, explicó Kaspersky en su informe.
Una vez que el programa quedaba instalado, tres archivos del sistema empezaban a hacer cosas que no deberían. Cada vez que se encendía el ordenador, uno de ellos contactaba con un servidor externo controlado por los atacantes y recibía instrucciones. Lo primero que hacía el malware era recopilar datos del equipo: dirección MAC, nombre del PC, software instalado, procesos activos y configuración de idioma, entre otros.
Con esa información los hackers decidían qué máquinas merecía la pena atacar a fondo y desplegaban cargas adicionales. Kaspersky registró varios miles de intentos de instalación de malware complementario desde principios de abril, incluyendo una puerta trasera capaz de inyectar código en procesos de Windows.
Espionaje dirigido disfrazado de infección masiva
Aunque la distribución fue masiva y afectó a usuarios particulares en un centenar de países, el verdadero objetivo no eran los usuarios corrientes. Aproximadamente un 10 % de las infecciones tocaron sistemas empresariales, y las puertas traseras más agresivas se dirigieron a objetivos concretos en Rusia, Bielorrusia y Tailandia: agencias gubernamentales, centros de investigación y empresas del sector industrial.
Kaspersky encontró similitudes técnicas con campañas previas atribuidas a grupos vinculados al gobierno chino, lo que apunta a una operación de ciberespionaje a gran escala donde la infección generalizada servía como filtro para localizar los objetivos realmente valiosos.
Qué hacer si tienes Daemon Tools instalado
AVB Disc Soft, contactada por TechCrunch tras conocerse el informe, reconoció estar al tanto y aseguró que trata el asunto como «prioridad máxima». Sin embargo, a fecha de publicación del informe de Kaspersky los archivos infectados seguían disponibles para descarga en la web oficial, así que la recomendación es clara: si tienes cualquier versión reciente de Daemon Tools en Windows, desinstálala ya y pasa un análisis completo con tu antivirus. Las versiones para otros sistemas operativos no parecen estar afectadas.
Es un recordatorio bastante incómodo de que ni siquiera descargar software desde la página oficial del desarrollador garantiza que estés a salvo. Cuando los atacantes comprometen la propia cadena de distribución, las defensas habituales simplemente no funcionan.