بدأت الحملة في 8 أبريل 2026، عندما تم اختراق عدة إصدارات من DAEMON Tools (من 12.5.0.2421 إلى 12.5.0.2434). كانت التثبيتيات المصابة مضمنة على موقع البرنامج الرسمي، ومصدقة باستخدام شهادات رقمية صالحة تابعة لتطوير شركة AVB Disc Soft. هذا جعل الحزم الخبيثة تبدو شرعية، مما زاد بشكل كبير من احتمالية الإصابة بنجاح.
يقول الباحثون إن الهجوم لا يزال نشطًا حتى أوائل مايو، مع بقاء البنية التحتية قيد التشغيل. تم تعديل عدة ملفات أساسية، بما في ذلك DTHelper.exe، DiscSoftBusServiceLite.exe، وDTShellHlp.exe، لتضمين بوابة خلفية مخفية. بمجرد التثبيت، تنفذ هذه المكونات تلقائيًا عند بدء تشغيل النظام وتقرر الاتصال بخدمات التحكم الخارجية.
استخدم المهاجمون أيضًا نطاقًا مصممًا ليشبه موقع DAEMON Tools الرسمي، مما ساعد في دمج النشاط الخبيث مع حركة المرور الطبيعية. تم تسجيل هذا النطاق الخبيث أيامًا قبل بدء الحملة، مما يشير إلى عملية مخططة بعناية.
هجوم مرحلي وموجه
يتبع الهجوم هيكلًا مرحليًا. في معظم الحالات، تتلقى الأنظمة المصابة أولًا حمولة سرقة معلومات تجمع بيانات النظام مثل عناوين MAC، أسماء المضيفات، البرامج المثبتة، العمليات الجارية، تكوين الشبكة، وLocale النظام. ثم يتم إرسال هذه المعلومات إلى خوادم تحت سيطرة المهاجمين،likely لاستخدامها في تقييم قيمة الأنظمة المصابة واستهدافها للاستغلال الإضافي.
بشكل مثير للاهتمام، تحتوي أجزاء من هذه الحمولة على Strings بلغة صينية، مما يشير إلى احتمال وجود تهديد من قبل تهديدين متحدثين باللغة الصينية، لكن لم يتم إجراء أي نسب رسمي.
على الرغم من تسجيل آلاف الإصابات عالميًا، لم تتلق سوى نسبة صغيرة من الأنظمة المصابة برامج خبيثة إضافية بعد المرحلة الأولى. كانت هذه الأنظمة ذات القيمة الأعلى مرتبطة بمنظمات تعمل في قطاعات الحكومة، التصنيع، البحث العلمي، والتجزئة. تشير الطبيعة الانتقائية لهذا التوزيع إلى أن العملية لم تكن عشوائية، بل كانت تهدف إلى أهداف استخباراتية أو اختراق استراتيجي.
أدوات المرحلة الثانية
من بين الأدوات التي تم تحديدها في المرحلة الثانية، بوابة خلفية بسيطة قادرة على تنفيذ الأوامر، تحميل الملفات، وتنفيذ الكود مباشرة في الذاكرة. وفي حالة مؤكدة على الأقل، تم نشر زر QUIC RAT المتقدم. يدعم هذا البرامج الخبيثة بروتوكولات اتصال متعددة، بما في ذلك HTTP، TCP، DNS، وQUIC، ويمكنه حقن الكود في عمليات شرعية مثل notepad.exe.
تظهر بيانات المراقبة آلاف محاولات الإصابة في أكثر من 100 دولة. سجلت أعلى نسبة من الأنظمة المصابة في روسيا، البرازيل، تركيا، إسبانيا، ألمانيا، فرنسا، إيطاليا والصين. تنتمي حوالي 10% من الأنظمة المصابة إلى المنظمات، بينما تلقت معظم الأنظمة فقط المرحلة الأولى لسرقة البيانات.
كشف المخاطر وتوصيات الأمن
تكتشف أدوات الأمن من كاسبرسكي النشاط الخبيث في عدة مراحل، بما في ذلك التحميلات المشبوهة القائمة على PowerShell، تنفيذ البرامج الخبيثة من مجلدات مؤقتة، حقن الكود في العمليات الشرعية، وحركة المرور الخارجية غير الطبيعية.
يُنصح المنظمات بإجراء مراجعات لأجهزة النظام التي تم تثبيت DAEMON Tools عليها بعد 8 أبريل 2026. كما يُنصح بمراقبة الأنظمة بحثًا عن نشاط غير طبيعي في سطر الأوامر، خاصة فيما يتعلق بـ PowerShell. بالإضافة إلى ذلك، يُشجع على تنفيذ نماذج أمنية صفرية الثقة ومنع تنفيذ الملفات من المجلدات المؤقتة.
يظهر اختراق DAEMON Tools كيف يواصل المهاجمون تحسين تكتيكات سلسلة التوريد، حيث يجمعون بين التوزيع على نطاق واسع مع الاستهداف الدقيق. مع زيادة استخدام البرامج الموثوقة كبوابة للدخول إلى تهديدات متقدمة، يجب على المنظمات التعامل حتى مع التطبيقات الشرعية كمتجهات خطر محتملة، واعتماد استراتيجيات دفاعية متعددة الطبقات ومنشطة.
