Wer DAEMON Tools in den vergangenen Wochen heruntergeladen hat, könnte sich mehr eingefangen haben als nur ein Tool zum Einbinden von Disk-Images. Kaspersky-Forscher haben Anfang Mai 2026 festgestellt, dass die Installer des weit verbreiteten Windows-Programms seit dem 8. April 2026 mit Schadsoftware versehen sind. Betroffen sind die Versionen 12.5.0.2421 bis 12.5.0.2434, die direkt über die offizielle Website von AVB Disc Soft, dem Entwicklerunternehmen hinter DAEMON Tools, ausgeliefert werden. Zum Zeitpunkt der Veröffentlichung des Kaspersky-Berichts war der Angriff noch aktiv.

Gültige Entwickler-Signatur

Was den Angriff besonders heimtückisch macht: Die manipulierten Installer tragen gültige digitale Signaturen der legitimen Entwickler. Drei ausführbare Dateien innerhalb der Installation wurden kompromittiert – DTHelper.exe, DiscSoftBusServiceLite.exe sowie DTShellHlp.exe. Startet das System, aktiviert sich automatisch eine Backdoor, die in den Initialisierungscode der CRT-Umgebung eingebettet ist. Diese sendet GET-Anfragen an einen Kontrollserver, dessen Domain-Name gezielt die legitime Adresse daemon-tools.cc imitiert. Die Angreifer hatten die Schaddomain demnach bereits am 27. März registriert – knapp eine Woche, bevor die ersten manipulierten Installer auftauchten.

Der Kontrollserver beantwortet die Anfragen mit Shell-Kommandos, über die weitere Payloads nachgeladen werden. Kaspersky identifizierte mehrere Schadsoftware-Stufen: Zunächst sammelt ein sogenannter Information Collector – eine .NET-Anwendung mit chinesischsprachigen Code-Strings – Systemdaten wie MAC-Adresse, Hostname, DNS-Domäne, laufende Prozesse, installierte Software und Systemsprache.

Auf ausgewählten Maschinen folgte zusätzlich eine minimalistische Backdoor, die Dateien herunterladen, Shell-Befehle ausführen und Shellcode im Speicher ausführen kann. Auf einer einzelnen Organisation – nach Kaspersky-Angaben eine Bildungseinrichtung in Russland – wurde darüber hinaus ein deutlich komplexeres Remote-Access-Tool eingesetzt, das die Forscher "QUIC RAT" nannten. Dieses in C++ geschriebene RAT unterstützt zahlreiche Kommunikationsprotokolle, darunter HTTP, UDP, TCP, QUIC, DNS und HTTP/3.

Tausende Infektionen weltweit

Insgesamt registrierte Kaspersky seit dem 8. April mehrere Tausend Infektionsversuche in mehr als 100 Ländern, wobei die Mehrheit der betroffenen Systeme in Russland, Brasilien, der Türkei, Spanien, Deutschland, Frankreich, Italien und China lag. Rund zehn Prozent der infizierten Maschinen gehören Unternehmen und Organisationen.

Der Information Collector wurde dabei breit ausgerollt, die weitergehende Backdoor hingegen nur auf etwa einem Dutzend Systemen beobachtet – bei staatlichen, wissenschaftlichen, fertigungs- und handelsnahen Organisationen in Russland, Belarus und Thailand. Das deutet auf ein gezieltes, zweistufiges Vorgehen hin: erst breit infiltrieren, dann selektiv zuschlagen. Ob hinter dem Angriff Cyberspionage oder ein anderes Motiv steckt, lassen die Forscher derzeit offen.

Kaspersky hat AVB Disc Soft über den Angriff informiert, damit das Unternehmen Gegenmaßnahmen einleiten kann. Für betroffene Organisationen empfehlen die Sicherheitsforscher, alle Systeme mit DAEMON Tools-Installationen auf verdächtige Aktivitäten ab dem 8. April zu prüfen. Details zur Infektion samt Indicators of Compromise (IoC) finden sich im Kaspersky-Blogbeitrag.

Der Fall reiht sich in eine beunruhigende Serie von Supply-Chain-Angriffen im Jahr 2026 ein: Bereits eScan im Januar, Notepad++ im Februar und CPU-Z im April waren Ziel ähnlicher Angriffe. Die Botschaft der Kaspersky-Forscher ist klar: Selbst weit verbreitete und als vertrauenswürdig geltende Software kann zur Angriffsfläche werden – ein Umstand, den Unternehmen bei ihrer Sicherheitsstrategie und der Umsetzung eines "Zero Trust"-Ansatzes stärker berücksichtigen sollten.