概述

近日，据安全机构披露，主流磁盘镜像挂载工具DAEMON Tools遭遇供应链投毒。自4月8日起，其官方网站被上传了12.5.0.2421至12.5.0.2434等多个恶意版本，影响超过100个国家和地区的数千台设备，目前攻击仍在进行中。

DAEMON Tools是全球广泛使用的磁盘镜像挂载工具，攻击者篡改了官方安装程序，恶意文件均具备开发商AVB Disc Soft有效数字签名。恶意程序嵌入开机自启逻辑，设备启动即激活后门并反连恶意 C2。

请各单位立即组织排查，若存在受影响版本，务必立即卸载，切勿安装任何可疑版本。

攻击详情

安全威胁等级：高危

攻击分为两步实施：先批量部署信息收集器窃取系统信息，再定向投放极简后门、QUIC RAT远控木马，实现精准控制与窃密。以下为相关攻击载荷信息：

（一）信息采集器envchk.exe

广泛投放，可采集MAC、主机名、DNS、进程列表、已安装软件等，用于筛选高价值目标。

（二）极简后门cdg.exe

精准投放至已筛选目标，支持文件下载、shell命令执行及shellcode内存执行。

（三）远控木马QUIC RAT

仅在极少量高价值机器上发现，支持HTTP/UDP/TCP/WSS/QUIC/DNS/HTTP/3等多协议通信，可向notepad.exe和conhost.exe注入恶意载荷。

影响范围

（一）受影响软件版本

DAEMON Tools  12.5.0.2421-12.5.0.2434

（二）疑似恶意组件

DTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exe

（通常位于默认安装路径下：C:\Program Files\DAEMON Tools Lite\）

排查方法

（一）检查软件版本

查询是否安装DAEMON Tools的12.5.0.2421-12.5.0.2434版本

（二）检查可疑文件

在临时目录C:\Windows\Temp\查看是否存有文件envchk.exe，cdg.exe，imp.tmp，piyu.exe

处置建议

如确认或怀疑设备受到影响，请立即按以下步骤操作：

（一）卸载DAEMON Tools恶意版本。

（二）清除envchk.exe、cdg.exe、cdg.tmp等恶意载荷。

（三）重置操作系统密码、SSH 密钥以及所有使用软件的登录密码。

注：本通告基于公开披露的技术分析整理，具体修复方案请参考官方安全公告。

信息与数据管理中心

 2026年5月6日