Peretas dilaporkan telah menyusupi (trojanized) installer untuk perangkat lunak DAEMON Tools. Sejak tanggal 8 April 2026, serangan rantai pasokan (supply-chain attack) ini telah mengirimkan malware backdoor (pintu belakang) ke ribuan sistem yang mengunduh produk tersebut langsung dari situs web resminya.
Serangan ini telah memicu ribuan infeksi di lebih dari 100 negara. Namun, payload tahap kedua hanya disebarkan ke belasan mesin, yang mengindikasikan bahwa ini adalah serangan presisi yang dirancang khusus untuk mengincar target bernilai tinggi. Di antara korban yang menerima payload tahap lanjutan ini adalah organisasi ritel, lembaga ilmiah, institusi pemerintah, dan perusahaan manufaktur yang berbasis di Rusia, Belarus, dan Thailand.
Temuan Kaspersky dan Versi yang Terdampak
Berdasarkan laporan terbaru dari perusahaan keamanan siber Kaspersky, serangan ini masih berlangsung. Perangkat lunak yang disusupi mencakup DAEMON Tools versi 12.5.0.2421 hingga 12.5.0.2434.
Secara spesifik, peretas mengkompromikan file biner asli dari aplikasi tersebut, yakni:
DTHelper.exeDiscSoftBusServiceLite.exeDTShellHlp.exe
Sebagai informasi, DAEMON Tools adalah utilitas Windows populer yang berfungsi untuk memasang (mount) file citra disk (seperti ISO) sebagai drive virtual. Meskipun sangat populer di era 2000-an (terutama di kalangan gamer), penggunaannya saat ini lebih terbatas pada lingkungan TI spesifik yang masih memerlukan manajemen drive virtual.
Mekanisme Infeksi dan Payload
Setelah pengguna yang tidak curiga mengunduh dan mengeksekusi installer yang telah ditandatangani secara digital (namun disusupi) ini, mereka secara otomatis memicu kode berbahaya yang tertanam di dalam biner. Payload tersebut segera membangun persistensi di dalam sistem operasi dan mengaktifkan backdoor setiap kali sistem dinyalakan (startup).
Melalui backdoor ini, server peretas dapat merespons dengan perintah jarak jauh yang menginstruksikan sistem korban untuk mengunduh dan mengeksekusi payload tambahan.
1. Payload Tahap Pertama:
Malware tahap pertama pada dasarnya adalah pencuri informasi dasar (info-stealer). Ia akan mengumpulkan data sistem vital seperti nama host, alamat MAC, proses yang sedang berjalan, perangkat lunak yang terinstal, hingga lokasi sistem, lalu mengirimkannya ke peretas untuk proses profiling (pembuatan profil korban).
2. Payload Tahap Kedua:
Berdasarkan hasil profiling, beberapa sistem yang dinilai penting akan menerima malware tahap kedua. Payload ini merupakan backdoor ringan yang mampu mengeksekusi perintah, mengunduh file, dan menjalankan kode berbahaya langsung dari dalam memori RAM (fileless).
Dalam satu kasus spesifik yang menargetkan sebuah institut pendidikan di Rusia, Kaspersky bahkan mengamati penyebaran varian malware yang jauh lebih canggih yang dijuluki QUIC RAT. Malware ini mendukung berbagai protokol komunikasi dan dapat menyuntikkan kode jahat langsung ke dalam proses Windows yang sah.
Dalang di Balik Serangan Rantai Pasokan
Kaspersky menggambarkan serangan ini sebagai kompromi yang cukup canggih, mengingat malware ini berhasil menghindari deteksi sistem keamanan selama hampir satu bulan.
“Mengingat tingginya kompleksitas serangan, sangat penting bagi organisasi untuk memeriksa secara teliti mesin-mesin yang menginstal DAEMON Tools, guna mencari aktivitas abnormal terkait keamanan siber yang terjadi pada atau setelah 8 April,” imbau para peneliti.
Meskipun Kaspersky tidak secara resmi mengaitkan serangan ini dengan aktor ancaman tertentu, berdasarkan baris string yang ditemukan pada payload tahap pertama, peneliti meyakini bahwa penyerang menggunakan bahasa Mandarin (Cina).
Insiden DAEMON Tools ini menambah daftar panjang serangan rantai pasokan perangkat lunak yang terjadi hampir setiap bulan sejak awal tahun 2026, menyusul pembobolan serupa pada eScan (Januari), Notepad++ (Februari), dan CPU-Z (April).