april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
februari 13, 2026 eBuilder Security skriver avtal om kontinuerlig pentesting med ett svenskt AI-bolag.
februari 11, 2026 eBuilder Security säljer Complorer säkerhetsutbildning till en a-kassa.
januari 30, 2026 eBuilder skriver 3års-avtal med en svensk kommun för MDR/SOC.
Company News
mobile-menu-icon
Hot & Attacker

Daemon Tools-hackare använde giltiga certifikat för att dölja backdoor i en månad

Blog Reading Time 4 Lästid / maj 7, 2026

Kinesisktalande angripare komprometterade installationsfiler för Daemon Tools och förblev oupptäckta i nästan en månad. Supply chain-angreppet inleddes den 8 april 2026, då trojaniserade versioner signerades med legitima digitala certifikat från mjukvaruutvecklaren AVB Disc Soft. Kaspersky upptäckte intrånget i början av maj efter att ha observerat tusentals infektionsförsök i över 100 länder.

Angreppet riktade sig mot både enskilda användare och organisationer, men angriparna installerade avancerade bakdörrar endast på ett dussin högvärdesmål inom offentlig sektor, forskning, tillverkningsindustri och detaljhandel. De flesta drabbade användare fick enklare informationsstjälande programvara som samlade in systemdata och etablerade uthållighet i systemen.

Giltiga certifikat gjorde att skadlig kod kunde undgå upptäckt i flera veckor

Angriparna komprometterade tre centrala i Daemon Tools-installationer: DTHelper.exe, DiscSoftBusServiceLite.exe och DTShellHlp.exe. Samtliga filer var signerade med giltiga digitala certifikat från AVB Disc Soft, vilket gjorde att de kunde kringgå traditionell endpoint-skydd och användarnas säkerhetskontroller. Versionerna 12.5.0.2421 till 12.5.0.2434 innehöll skadlig kod som aktiverades varje gång systemet startade.

-Ett intrång av denna karaktär kringgår traditionella perimeterskydd eftersom användare implicit litar på digitalt signerad software som laddas ner direkt från en officiell leverantör, säger Georgy Kucherin, senior säkerhetsforskare på Kaspersky GReAT.

Han tillade att angreppet förblev oupptäckt i ungefär en månad, vilket enligt honom visar att angriparna är sofistikerade och besitter avancerade offensiva förmågor.

Den skadliga koden kommunicerade en command-and-control-server på env-check.daemontools[.]cc, en typosquattad domän registrerad 27 mars, bara dagar innan angreppet började. Tidpunkten tyder på att infrastrukturen förbereddes i förväg snarare än att det rörde sig om ett opportunistiskt intrång.

AVB Disc Soft släppte ren version efter avslöjande

AVB Disc Soft bekräftade att intrånget endast påverkade den kostnadsfria Daemon Tools Lite-versionen, inte de betalda Pro- och Ultra-utgåvorna. Företaget släppte version 12.6.0.2445 den 5 maj 2026, som inte innehåller några komprometterade filer.

-Inom mindre än 12 timmar efter att ha identifierat problemet kunde vi implementera en lösning, uppgav företaget.

Leverantören har isolerat påverkade system, tagit bort komprometterade filer från distribution, granskat sin byggpipeline och förstärkt sina säkerhetskontroller. Angreppet var dock fortfarande aktivt när det först avslöjades, vilket betyder att användare som laddade ner Daemon Tools mellan 8 april och 5 maj fortfarande kan ha infekterade versioner installerade.

Fjärde stora supply chain-angreppet på fem månader

Daemon Tools-intrånget fortsätter ett oroande mönster av supply chain-angrepp mot programvara under 2026. Kaspersky-forskare har tidigare undersökt liknande incidenter kopplade till eScan i januari, Notepad++ i februari och CPU-Z i april. Det innebär en tydlig ökning jämfört med tidigare i år.

De flesta infektioner inträffade i Ryssland, Brasilien, Turkiet, Spanien, Tyskland, Frankrike, Italien och Kina. Omkring tio procent av infektionerna drabbade organisationsmiljöer, medan resten riktade sig mot hemanvändare. Den geografiska fördelningen och angriparnas urval av mål tyder på ekonomiskt spionage snarare än storskalig ransomware-agrepp.

Kaspersky identifierade flera artefakter som pekar mot kinesisktalande angripare, även om attribueringen bygger på teknisk anlays och inte på bekräftade underrättelseuppgifter. Angreppets sofistikering och långvariga uthållighet ligger i linje med avancerade persistenta hotaktörer som ofta kopplas till nationalstatsstödda grupper.

Detta bör du göra om du laddade ned Daemon Tools efter april

Organisationer och privatpersoner som laddade ner Daemon Tools Lite mellan 8 april och 5 maj bör omedelbart avinstallera applikationen och köra omfattande systemskanningar. Kaspersky och andra säkerhetsföretag har publicerat komprometteringsindikatorer för att hjälpa till att identifiera infektioner.

Kontrollera system för ovanliga nätverksanslutningar till env-check.daemontools[.]cc och övervaka misstänkt PowerShell-aktivitet eller filer i temporära kataloger. Malwaren släpper typiskt en informationssamlare som heter envchk.exe i C:WindowsTemp och skapar uthållighet genom startexekvering.

Installera den rena versionen 12.6.0.2445 från den officiella Daemon Tools-webbplatsen om du behöver mjukvaran för legitima ändamål. Med tanke på supply chain-intrånget bör du dock överväga om alternativa diskmonterings-verktyg kan minska framtida riskexponering.

Referenser

  1. DAEMON Tools Supply Chain Attack Compromises Official Installers with Malware
  2. Supply chain attack via DAEMON Tools
  3. Popular DAEMON Tools software compromised
  4. DAEMON Tools trojanized in supply-chain attack to deploy backdoor
  5. Government, Scientific Entities Hit via Daemon Tools Supply Chain Attack

This post is also available in: English

Related News

Salt Typhoon Hits IBM Italy Subsidiary in Silent Two-Week Espionage Campaign

Salt Typhoon angrep IBM-dotterbolag i Italien under två veckors spionage

Cyber News Calendar icon maj 5, 2026
Bluekit Phishing Kit Turns Session Hijacking into a Point-and-Click Operation

Bluekit gör sessionskapning till ett klick

Cyber News Calendar icon maj 4, 2026
NCSC Handles 200 State Cyber Attacks as Britain Faces Four Weekly Incidents

NCSC hanterade 200 statliga cyberangrepp när Storbritannien möter fyra incidenter per vecka

Cyber News Calendar icon april 23, 2026

Nordkoreanska hackare kapade Axios-paket för 100 miljoner användare

Nordkoreanska statshackare komprometterade Axios npm-paket den 31 mars 2026 och infogade en cross-platform remote access trojan i en av JavaScripts mest använda HTTP-klienter. Angreppsfönstret varade…

Cyber News Calendar icon april 22, 2026
Cargo Thieves Exploit RMM Tools to Steal Freight Worth £5 Billion

Cyberbrottslingar använder RMM-verktyg för att stjäla gods värt miljarder

Cyber News Calendar icon april 20, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss