Kaspersky entdeckt Supply-Chain-Angriff auf Daemon Tools

5. Mai 2026

Alle Versionen ab Daemon Tools 12.5.0.2421 betroffen

Das Kaspersky Global Research and Analysis Team (GReAT) hat einen aktiven Supply-Chain-Angriff entdeckt, der auf die offizielle Webseite von Daemon Tools abzielt – einer verbreiteten Software zur Emulation virtueller Laufwerke [1]. Das kompromittierte Installationsprogramm liefert neben der legitimen Anwendung auch Schadsoftware aus und ermöglicht Angreifern, beliebige Befehle auszuführen und infizierte Geräte aus der Ferne zu kontrollieren. Betroffen sind Länder weltweit, darunter auch Deutschland.

Die Bedrohungsakteure hinter dem Supply-Chain-Angriff haben die manipulierte Software seit dem 8. April 2026 aktiv direkt über die Hauptdomain des Anbieters verbreitet und die Schadsoftware erfolgreich mit einem gültigen digitalen Entwicklerzertifikat verschleiert. Dies betrifft sämtliche Versionen seit 12.5.0.2421. Kaspersky hat den Entwickler AVB Disc Soft informiert, damit Gegenmaßnahmen ergriffen werden können.

Die Disk Emulations-Software benötigt zwar für ihren Betrieb nur niedrigschwellige Systemzugangs-Anforderungen, Nutzer gewähren der Anwendung dennoch häufig erhöhte Administratorrechte während der Installation. Dadurch erhält auch die verbreitete Schadsoftware die Möglichkeit, sich tief im Host-Betriebssystem einzunisten und die Integrität des Geräts erheblich zu beeinträchtigen. Insbesondere manipulierten die Angreifer legitime Anwendungsbinärdateien, um beim Prozessstart schädlichen Code auszuführen, und nutzten einen legitimen Windows-Dienst, um die Persistenz auf dem Host aufrechtzuerhalten.

Die Kaspersky-Telemetrie zeigt eine globale Verbreitung des kompromittierten Updates; insgesamt sind mehr als 100 Länder und Regionen betroffen. Die meisten Betroffenen stammen neben Deutschland aus Russland, Brasilien, der Türkei, Spanien, Frankreich, Italien und China. Die Analyse zeigt zudem, dass 10 Prozent der betroffenen Systeme zu Unternehmen und Organisationen gehören. Dies setzt betroffene Unternehmensumgebungen erheblichen nachgelagerten Sicherheitsrisiken aus.

Bei wenigen Geräten in Einzelhandels- und Fertigungsunternehmen sowie Regierungs- und wissenschaftlichen Behörden entdeckten die Kaspersky-Experten zudem, dass die Angreifer manuell zusätzliche Payloads bereitstellten, darunter einen Shellcode-Injektor und zuvor unbekannte Remote-Access-Trojaner (RATs). Das enge Branchenprofil, kombiniert mit Tippfehlern und Inkonsistenzen in den ausgeführten Befehlen, deutet darauf hin, dass die nachfolgenden Aktivitäten zielgerichtet und manuell gegen spezifisch ausgewählte Ziele durchgeführt werden.

„Eine Kompromittierung dieser Art umgeht traditionelle Perimeter-Abwehrmechanismen, da Nutzer der Software, die direkt von einem offiziellen Anbieter heruntergeladen wurde, vertrauen“, kommentiert Georgy Kucherin, Senior Security Researcher im Kaspersky GReAT. „Der Angriff auf beziehungsweise über Daemon Tools blieb etwa einen Monat lang unentdeckt. Das weist darauf hin, dass der hinter diesem Angriff stehende Bedrohungsakteur hochentwickelt ist und über fortgeschrittene Angriffsfähigkeiten verfügt. Angesichts der hohen Komplexität der Kompromittierung sollten Organisationen daher dringend Systeme mit installierter Daemon-Tools-Software isolieren und Sicherheitsüberprüfungen durchführen, um eine weitere Ausbreitung schädlicher Aktivitäten innerhalb von Unternehmensnetzwerken zu verhindern.“

Kaspersky-Empfehlungen zur Reduzierung von Cyberrisiken in der Lieferkette

Lieferanten vor Vertragsabschluss gründlich prüfen: Sicherheitsrichtlinien, Informationen zu früheren Vorfällen sowie die Einhaltung relevanter Industriestandards bewerten. Bei Software- und Cloud-Services zusätzlich verfügbare Schwachstellendaten sowie Ergebnisse von Penetrationstests berücksichtigen.
Sicherheitsanforderungen vertraglich festschreiben: verbindliche Security-Klauseln definieren, regelmäßige Audits einplanen und die Einhaltung interner Policies sowie klarer Incident-Notification-Prozesse sicherstellen.
Präventive technische Maßnahmen etablieren: Prinzip der minimalen Rechtevergabe (Least Privilege), Zero-Trust-Ansätze und ein reifes Identity- und Access-Management umsetzen, um die Auswirkungen bei einer Kompromittierung eines Zulieferers zu begrenzen.
Kontinuierliches Monitoring sicherstellen: Laufende Überwachung der Infrastruktur und Anomalie-Erkennung in Software- sowie Netzwerkverkehr etablieren – je nach internen Ressourcen etwa mit XDR- oder MXDR-Ansätzen. Kaspersky Next XDR Expert [2] sowie Kaspersky Managed Detection and Response [3] können hier unterstützen.
Incident-Response-Plan erweitern: Reaktionspläne explizit um Supply-Chain-Szenarien ergänzen – inklusive klarer Schritte zur schnellen Identifikation, Eindämmung und Trennung kompromittierter Supplier-Zugänge, beispielsweise zur Entkopplung des Lieferanten von Unternehmenssystemen.
Lieferanten in die eigene Sicherheit einbeziehen: Sicherheitsanforderungen und Verbesserungen beidseitig abstimmen, gemeinsame Prioritäten definieren und operative Zusammenarbeit wie Meldewege, Übungen und Lehren etablieren.

Kaspersky-Lösungen erkennen und blockieren die Ausführung der kompromittierten Installer.

[1] https://securelist.com/tr/daemon-tools-backdoor/119654 S

[2] https://www.kaspersky.de/enterprise-security/xdr

[3] https://www.kaspersky.de/enterprise-security/managed-detection-and-response