DAEMON TOOLS Tedarik Zinciri Saldırısı Nisan’dan Beri Devam Ediyor: Binlerce Kullanıcı Etkilendi

Kaspersky güvenlik araştırmacıları, Nisan 2026’nın başından bu yana resmi kanallar üzerinden dağıtılan DAEMON Tools kurulum dosyalarının arka kapı içeren sürümlerle değiştirildiğini tespit etti. DAEMON Tools tedarik zinciri saldırısı kapsamında saldırganlar, yazılımın resmi web sitesinde barındırılan kurulum dosyalarına geçici arka kapılar yerleştirirken bu dosyaları AVB Disc Soft geliştiricisine ait geçerli dijital sertifikalarla imzaladı. Bu sayede kötü amaçlı paketler güvenilir yazılım güncellemeleri gibi görünerek kullanıcıların işletim sistemlerine sızmayı başardı.

Saldırganlar DTHelper.exe, DiscSoftBusServiceLite.exe ve DTShellHlp.exe gibi temel ikili dosyaları değiştirerek içlerine gizli bir arka kapı entegre etti. DAEMON Tools kötü amaçlı yazılım analizi sırasında bu bileşenlerin sistem başlangıcında otomatik olarak çalıştığı ve harici bir komuta ve kontrol sunucusuyla bağlantı kurduğu görüldü. Saldırganlar ayrıca meşru DAEMON Tools web sitesini taklit eden bir alan adı kullanarak kötü amaçlı trafiği normal ağ aktiviteleriyle harmanladı. Bu alan adı saldırı kampanyasından sadece günler önce kaydedildi. DAEMON Tools arka kapı tehdidi sayesinde saldırganlar, enfekte sistemler üzerinde uzun süreli kontrol sağlayabildi.

Enfekte olan sistemlerin çoğunda ilk aşamada MAC adresleri, ana bilgisayar adları, yüklü yazılımlar, çalışan süreçler ve sistem dili gibi verileri toplayan bir bilgi hırsızı yükü devreye giriyor. Bu bilgiler saldırganların kontrolündeki sunuculara gönderilerek ele geçirilen sistemlerin profillenmesi ve daha ileri istismar için değerlendirilmesi sağlanıyor. Bu yükün bazı bölümlerinde Çince dil dizelerine rastlanması, tehdit aktörlerinin Çince konuşan bir grup olabileceğine işaret ediyor.

İlginizi Çekebilir: CloudZ Zararlı Yazılımı Microsoft Telefon Bağlantısı Üzerinden SMS Ve Kimlik Doğrulama Kodlarını Ele Geçiriyor

Dünya genelinde binlerce enfeksiyon tespit edilmesine rağmen, ilk yükün ötesinde ek kötü amaçlı yazılım alan sistemlerin sayısı oldukça sınırlı kaldı. Bu yüksek değerli hedefler arasında devlet kurumları, üretim tesisleri, bilimsel araştırma merkezleri ve perakende sektöründe faaliyet gösteren organizasyonlar yer alıyor. DAEMON Tools resmi web sitesi ihlali sonucu ikinci aşamada komut çalıştırabilen, dosya indirebilen ve bellekte doğrudan kod çalıştırabilen minimalist bir arka kapı tespit edildi. En az bir vakada ise HTTP, TCP, DNS ve QUIC gibi birden fazla iletişim protokolünü destekleyen ve notepad.exe gibi meşru süreçlere kod enjekte edebilen QUIC RAT adlı daha gelişmiş bir zararlı yazılım kullanıldı. DAEMON Tools QUIC RAT tespiti, saldırganların yeteneklerinin ne kadar ileri seviyede olduğunu gözler önüne serdi.

Telemetri verileri, 100’den fazla ülkede binlerce enfeksiyon girişiminin yaşandığını gösteriyor. En fazla etkilenen sistemler Rusya, Brezilya, Türkiye, İspanya, Almanya, Fransa, İtalya ve Çin’de kaydedildi. Etkilenen sistemlerin yaklaşık yüzde 10’u kurumlara aitken geri kalan sistemler yalnızca ilk veri toplama aşamasını aldı. Kuruluşların 8 Nisan 2026’dan sonra DAEMON Tools kurulumu yapılan sistemleri denetlemesi ve özellikle PowerShell ile ilgili olağandışı komut satırı aktivitelerini izlemesi öneriliyor.