كشفت Kaspersky، يوم الثلاثاء 5 مايو 2026، عن هجوم نشط استهدف سلسلة إمداد برنامج DAEMON Tools، وذلك بعد رصد نسخ معدلة من مثبتات البرنامج تُوزع عبر الموقع الرسمي للمورد، وتحمل توقيعاً رقمياً صالحاً عائداً للمطور AVB Disc Soft.
ووفقاً للشركة، بدأ التلاعب في 8 أبريل 2026، وطال إصدارات DAEMON Tools الممتدة بين 12.5.0.2421 و12.5.0.2434. ويمنح هذا النوع من الهجمات المهاجمين أفضلية عملية؛ نظراً لثقة المستخدمين والمؤسسات بالبرامج المحملة من القنوات الرسمية والموقعة رقمياً.
وبحسب تحليل فريق البحث والتحليل العالمي في Kaspersky (GReAT)، أُضيفت شيفرة خبيثة إلى مكونات شرعية داخل البرنامج، شملت DTHelper.exe وDiscSoftBusServiceLite.exe وDTShellHlp.exe. وعند تشغيل النظام، يتصل الملف الخبيث بخادم تحكم وسيطرة لتلقي أوامر قد تؤدي إلى تنزيل حمولات إضافية وتنفيذها.
وتبدأ سلسلة الإصابة، في كثير من الحالات، بجمع معلومات من الجهاز، تشمل عنوان MAC، واسم المضيف، واسم نطاق DNS، وقوائم العمليات العاملة والبرامج المثبتة، وإعدادات اللغة. ثم تُرسل هذه البيانات إلى خادم المهاجمين لاتخاذ قرار بشأن الخطوة التالية.
وأشارت Kaspersky إلى أن معظم الإصابات اقتصرت على جمع المعلومات، غير أن مجموعة محدودة من الأجهزة تلقت حمولات إضافية يدوية، تضمنت باباً خلفياً محدود القدرات، وأدوات حقن شيفرة، وبرمجية وصول عن بُعد تُعرف باسم QUIC RAT. ويتميز هذا الباب الخلفي بالقدرة على تنزيل حمولات أخرى، وتنفيذ أوامر عبر سطر الأوامر، وتشغيل وحدات شيفرة داخل الذاكرة.
وتظهر القياسات المنشورة انتشاراً واسعاً لمحاولات التثبيت في أكثر من 100 دولة ومنطقة، مع تمركز معظم الضحايا في روسيا، والبرازيل، وتركيا، وإسبانيا، وألمانيا، وفرنسا، وإيطاليا، والصين؛ فيما بلغت نسبة الأنظمة المؤسسية المتأثرة نحو 10%.
أما الحمولات المتقدمة فظهرت، وفق Kaspersky، على ما يزيد قليلاً على عشرة أجهزة فقط، تابعة لمؤسسات في قطاعات التجزئة والعلوم والحكومة والتصنيع داخل روسيا وبيلاروسيا وتايلاند. وترى الشركة أن ضيق نطاق هذه المرحلة وطبيعة القطاعات المتأثرة يشيران إلى اختيار أهداف بعينها بعد الإصابة الأولية.
ولم تُنسب الحملة حتى الآن إلى جهة تهديد معروفة، رغم رصد مؤشرات لغوية صينية داخل بعض المكونات الخبيثة. ونقلت Kaspersky عن الباحث الأمني Georgy Kucherin أن هذا النوع من الاختراقات يتجاوز الدفاعات التقليدية، كون الثقة تتأسس على مصدر التنزيل الرسمي والتوقيع الرقمي السليم.
وتوصي Kaspersky المؤسسات التي تستخدم DAEMON Tools Lite بعزل الأجهزة التي ثُبت عليها البرنامج بعد تاريخ 8 أبريل 2026، وفحصها بحثاً عن أي نشاط مريب، مع مراقبة تنفيذ الأوامر غير المصرح بها أو محاولات الحركة الجانبية داخل الشبكة. كما نصحت المستخدمين الأفراد بإزالة النسخ المتأثرة وإجراء فحص أمني شامل.
وتسلط هذه الحادثة الضوء مجدداً على تعقيدات الدفاع ضد هجمات سلسلة الإمداد البرمجية، خاصة عندما ينبع الخطر من قناة توزيع رسمية لا من موقع مزيف أو نسخة مقرصنة؛ ما يجعل تدقيق برمجيات الطرف الثالث ومراقبة السلوك بعد التثبيت جزءاً ركيزاً في إدارة المخاطر السيبرانية للمؤسسات.
