Situs web resmi perangkat lunak Daemon Tools dilaporkan telah mendistribusikan installer Windows yang disisipi malware akibat serangan rantai pasokan sejak 8 April 2026. Insiden keamanan siber ini membuka pintu belakang bagi peretas untuk mengakses ribuan komputer di lebih dari 100 negara sebelum akhirnya terdeteksi.
Dilansir dari Detik iNET, tim peneliti keamanan dari Kaspersky menemukan bahwa infeksi ini menyerang beberapa versi spesifik Daemon Tools Lite. Versi yang terdampak meliputi rentang versi 12.5.0.2421 hingga 12.5.0.2434.
Serangan ini memiliki tingkat efektivitas tinggi karena menggunakan installer resmi yang ditandatangani dengan sertifikat digital sah milik pengembang perangkat lunak, AVB Disc Soft. Hal ini memungkinkan kode berbahaya melewati sistem keamanan komputer tanpa memicu peringatan selama hampir satu bulan.
Para peneliti mengidentifikasi bahwa peretas menyuntikkan program jahat ke dalam tiga file biner utama yang disertakan dalam paket instalasi. File-file tersebut adalah DTHelper.exe, DiscSoftBusServiceLite.exe, dan DTShellHlp.exe yang biasanya terletak di dalam folder instalasi standar Windows.
Saat file-file tersebut dijalankan oleh pengguna, malware akan secara otomatis aktif untuk mulai mengumpulkan data sistem. Informasi yang dicuri mencakup alamat MAC, nama host, konfigurasi jaringan, daftar aplikasi terinstal, hingga lokasi fisik pengguna untuk proses pemetaan profil target.
Meskipun pelaku utama belum teridentifikasi secara pasti, kode yang ditemukan pada tahap awal menunjukkan penggunaan bahasa Mandarin oleh pengembang malware tersebut. Korban tersebar di banyak negara, termasuk Rusia, Brasil, Turki, Spanyol, Jerman, Prancis, Italia, dan China.
Analisis lebih lanjut menunjukkan adanya seleksi target yang sangat ketat pada tahap serangan kedua yang hanya dikirimkan ke belasan perangkat tertentu. Target spesifik ini mencakup organisasi ilmiah, lembaga pemerintah, institusi pendidikan, pabrik manufaktur, dan perusahaan ritel besar di Rusia, Belarusia, dan Thailand.
Pola serangan yang terorganisir ini mengarahkan para ahli pada kesimpulan bahwa operasi tersebut bertujuan untuk spionase terhadap entitas tertentu, bukan merupakan kejahatan siber acak. Kaspersky telah melaporkan temuan ini kepada pihak AVB Disc Soft untuk ditindaklanjuti.
Pengguna Daemon Tools kini disarankan untuk segera melakukan pemindaian antivirus secara menyeluruh pada perangkat mereka. Pengawasan ekstra perlu dilakukan terhadap direktori publik seperti AppData atau Temp untuk mendeteksi adanya aktivitas kode mencurigakan.
