Kaspersky: Daemon Tools is gehackt en wordt misbruikt voor supplychainaanvallen

Hackers zouden een achterdeur in de veelgebruikte Windows-software Daemon Tools hebben gezet, zegt beveiligingsbedrijf Kaspersky. Dat zegt dat Chinese hackers die achterdeur gebruiken om malware op systemen van wetenschappelijke en industriële instituten en overheden te plaatsen, met name in Rusland en Thailand.

Kaspersky schrijft in een blogpost dat het al sinds 8 april geïnfecteerde installers ziet die rechtstreeks van de website van Daemon Tools worden gedownload. Daemon Tools is populaire software voor Windows waarmee gebruikers diskimages kunnen maken. De infecties zitten in versies 12.5.0.2421 tot 12.5.0.2434 van Daemon Tools.

Opvallend is dat Kaspersky zegt dat de installers nog steeds online staan. Kaspersky heeft de maker van Daemon Tools, AVB Disc Soft, benaderd, maar ondertussen heeft Kaspersky zijn bevindingen al wel gepubliceerd.

Kaspersky zegt dat het op basis van telemetrie concludeert dat 'individuen en organisaties in meer dan honderd landen zijn geïnfecteerd'. Maar Kaspersky merkt ook op dat slechts in een handvol daarvan ook daadwerkelijk een payload is doorgevoerd.

Die payload bestaat onder meer uit een informatieverzamelaar. Die zoekt naar macadressen, hostnames, DNS-domeinnamen en welke software er op een systeem draait. Die informatie wordt vervolgens naar een command-and-control-server gestuurd.

Van info naar payload

Volgens Kaspersky wordt die informatie door de aanvallers ingezet om bepaalde geïnfecteerde machines te zoeken, die de aanvallers vervolgens met specifiekere aanvallen proberen te treffen. Dat gebeurt met malware die Kaspersky QUIC RAT noemt, een remote access trojan die op zijn beurt ook weer malware in het Kladblok en conhost.exe kan injecteren. Wat het doel is van die payload, weet Kaspersky niet.

In de code staan Chinese tekens. Daaruit concludeert Kaspersky dat de aanvallers mogelijk Chinees zijn, al houdt het bedrijf een slag om de arm en wijst het geen specifieke aanvalsgroep aan. De aanval is groot in omvang, in de duizenden, waarbij de meeste slachtoffers in Rusland, Brazilië, Turkije, Spanje, Duitsland, Frankrijk, Italië en, iets opvallend, China zelf zitten. De daadwerkelijke payload van malware wordt echter maar weinig ingezet. Dat gebeurt bij overheden, wetenschappelijke instellingen, winkels en industriële organisaties in Rusland, Wit-Rusland en Thailand.

Security/Hackers/Hack. Bron: Witthaya Prasongsin/Moment/Getty Images

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 06-05-2026 08:26 45

06-05-2026 • 08:26

Lees meer

Bitwarden lost kwetsbaarheid in CLI-tool op na geïnfecteerd npm-package

Bitwarden lost kwetsbaarheid in CLI-tool op na geïnfecteerd npm-package Nieuws van 23 april 2026

Veelgebruikte axios-library gebruikt voor supplychainaanval via npm-packages

Veelgebruikte axios-library gebruikt voor supplychainaanval via npm-packages Nieuws van 31 maart 2026

Aanvallers verstoppen infostealer in kwetsbaarhedenscanner Trivy

Aanvallers verstoppen infostealer in kwetsbaarhedenscanner Trivy Nieuws van 22 maart 2026

Onderzoekers ontdekken tweede golf van malware in npm-packages

Onderzoekers ontdekken tweede golf van malware in npm-packages Nieuws van 25 november 2025

Chinese staatshackers zouden achter hack op firewallmaker F5 zitten

Chinese staatshackers zouden achter hack op firewallmaker F5 zitten Nieuws van 17 oktober 2025

Meer producten en artikelen

Beveiliging en antivirus Kaspersky Lab Daemon tools Hackers

Reacties (45)

45

45

20

0

0

19

Wijzig sortering

pporrio 6 mei 2026 08:35

XP-tijdperk voor mij. Handig om een spel te kunnen spelen zonder dat je de cd-rom in je drive hoefde te hebben.

HugoBoss1985 @pporrio • 6 mei 2026 08:38

Hier ook, gelukkig een veel oudere versie in gebruik i.c.m. de retro XP systemen. En die systemen hangen niet aan internet. Toch handig dat de geraakte versie nummers in het artikel genoemd worden, ik ging toch wel even checken. Want misschien worden ze ooit nog aangesloten voor een LAN-party. Maar voor Windows XP gebruik ik Daemon Tools alleen voor games. En inmiddels heb ik een hele zooi aan GOG games ontdekt die je zo kan downloaden via Internet Archive. Die zijn al kant-en-klaar (met patches) en hebben vaak widescreen en FOV fixes.

[Reactie gewijzigd door HugoBoss1985 op 6 mei 2026 08:47]

Corporate_Greed @HugoBoss1985 • 6 mei 2026 08:51

GOG games zijn DRM-vrij maar niet echt legaal te noemen als je ze niet van GOG hebt, apart dat ze op IA staan. Of hebben ze ook GOG abandonware?

[Reactie gewijzigd door Corporate_Greed op 6 mei 2026 08:51]

HugoBoss1985 @Corporate_Greed • 6 mei 2026 08:54

Waarom wordt het dan niet verwijderd/offline gehaald? Er zijn wel GOG edities van games die "niet meer" via GOG te krijgen zijn, volgens mij? Wat ik eerder noemde bevat overigens niet (allemaal) zulk soort games. Ik weet niet of je het dan GOG abandonware kan noemen omdat GOG niet de originele maker/uitgever is? (als het een serieuze vraag was?

)

Overigens is Daemon Tools gebruiken (om games te installeren) ook niet altijd even legaal. Het probleem is dat vrijwel alles digitaal gaat tegenwoordig en de oude games niet meer origineel te koop zijn. En die versies van games werken vaak niet op oude besturingssystemen en/of missen originele functionaliteit. Sommige games heb ik wel 2-3 keer gekocht, 1 keer vroeger origineel (maar niet meer in bezig) en dan later 1-2 keer via een digitaal platform. En GOG heeft ook niet alle games.

Als ik games op Windows 98SE of Windows XP wil spelen moet ik ze dus wel downloaden en DaemonTools gebruiken omdat het vaak images van de game CD's/DVD's zijn. Of je kan ze wellicht branden via een modern OS, heb je wel een brander nodig.

Lang verhaal kort: downloaden ontkom je in dit geval (retro gaming) eigenlijk niet aan.

[Reactie gewijzigd door HugoBoss1985 op 6 mei 2026 09:11]

singingbird @HugoBoss1985 • 6 mei 2026 09:29

Nice! De point and click game Atlantis zie ik er tussen staan. Ik ga die maar eens downloaden. Ik heb de 4 CD box op zolder liggen van Atlantis, maar geen CD-ROM player meer.

lukjah @pporrio • 6 mei 2026 08:38

Of de CD uberhaupt hoefde te hebben

Corporate_Greed 6 mei 2026 08:35

Dat zegt dat Chinese hackers die achterdeur gebruiken om malware op systemen van wetenschappelijke en industriële instituten en overheden te plaatsen, met name in Rusland en Thailand.

DT heeft geen plaats op dit soort systemen, lijkt mij?
Zeker gezien Windows al een tijdje zelf een ISO kan mounten.

Beveiliging en antivirus
Hackers

@Corporate_Greed • 6 mei 2026 08:42

Daemon Tools kan meer dan enkel ISO's koppelen. Het heeft ook ondersteuning voor andere opslagformaten en kan/kon* ook omgaan met kopieerbeveiligingen. CD rippen met CloneCD, image koppelen met Daeom Tools, spelen.

* Geen idee of dit nog zo is. Ik gebruik het al 15-20 jaar niet meer, schat ik.

[Reactie gewijzigd door The Zep Man op 6 mei 2026 09:00]

Corporate_Greed @The Zep Man • 6 mei 2026 08:47

Ik gebruikte het nog in de tijd van XP, daarnaast had je ook Alcohol 120% en PowerISO. Oude warez tijden

PearlChoco @Corporate_Greed • 6 mei 2026 09:41

Oooh wat een herinneringen

Doet me plots denken aan StarForce 3

@The Zep Man • 6 mei 2026 10:02

Het kon niet omgaan met kopieerbeveiligingen want dat zou direct rechtszaken opleveren die niet gewonnen konden worden deamon tools en consorten. Het ondersteunde multi-layer isos en eigenlijk quasi alles wat een standaard CD speler ondersteunde maar dan in het MDS bestand wat een veel gevallen genoeg was om de copyprotection te omzeilen maar dat was dus niet alleen copy protection ook vb een CD rom die je om een of andere reden 2 keer had beschreven en dan de eerste bestanden terug kon ophalen met DT.

HaterFrame @Corporate_Greed • 6 mei 2026 10:16

Tsja eigenlijk niet, maar een admin die geen zin heeft om fysieke kopieën mee te slepen de productie omgeving in en lekker via de netwerk schijf gaat mounten bijvoorbeeld. Vaak lopen die systemen op oude OSen en dan is DT wel handig

Mandrake466 6 mei 2026 08:34

De hack geldt dus voor alle versies zoals Lite en Pro?

Wody @Mandrake466 • 6 mei 2026 08:46

Pro en Ultra gebruiken andere versie numbers (Pro zit op versie 8, Ultra zit op 7) en in de blog-post staat er niets over. Deze versies worden over het algemeen niet zo vaak bijgewerkt (pro in augustus 2021, ultra in december 2025), dus het is onwaarschijnlijk dat deze geinfecteerd zijn.

JJ Le Funk 6 mei 2026 08:43

Laatst per ongeluk dit soort malware (geïnfecteerde reguliere app) gedownload die maar bleef installen en nooit bij 100% kwam (was al verdacht), later bleek dat het Google Chrome in combinatie met task scheduler (voor auto her-infectie) probeerde te infecteren maar Chrome staat dus niet geïnstalleerd op mijn Windows PC

Met Malwarebytes troep weten op te ruimen. Les weer geleerd om geen app-downloads rechtstreeks van internet te vertrouwen

keejoz @JJ Le Funk • 6 mei 2026 09:03

Waar haal jij je apps dan tegenwoordig als die niet van het internet komen?

JJ Le Funk @keejoz • 6 mei 2026 09:12

vertrouwde app stores van bijv. Microsoft, Apple, Steam, e.d.

JacOwns7 @JJ Le Funk • 6 mei 2026 09:10

Je moet ze ook niet van Softonic downloaden he :P

Ach, MS Store is ook niet altijd heilig. Winget, met Winget als enige source, is wel een goeie gewoonte om aan te leren :D

Over het algemeen is het gewoon safe, als je maar download vanaf de officiele site.

undefined418 6 mei 2026 08:51

Dat is lang geleden, maar waarom zou je eigenlijk Deamon Tools nog willen gebruiken? Windows kan tegenwoordig toch gewoon native een iso laden?

CriticalHit_NL @undefined418 • 6 mei 2026 08:53

Windows kan enkel .iso of .img mounten, maar de andere vele formaten dus niet, daarvoor heb je andere tools nodig.

HakanX @undefined418 • 6 mei 2026 09:08

Als ik naar de lijst met landen met de meeste slachtoffers kijk, zijn het vooral landen met lage koopkracht, waar nog veel illegale spellen op oude hardware wordt gespeeld.
Grote kans dat het ook draait op een Windows versie zonder beveiligingsupdates en dat de systemen daarmee nog wel veel meer problemen hebben.

Maar deze systemen zijn zo te lezen niet de uiteindelijke targets. Het is een web van geïnfecteerde systemen met de hoop dat er toevallig via het netwerk een systeem van hoge waarde geïnfecteerde kan worden.

HugoBoss1985 @undefined418 • 6 mei 2026 09:13

Retro gaming; i.c.m. oudere (besturings)systemen.

turkeyhakan 6 mei 2026 08:32

Daemon Tools, ik dacht al, ik ken het ergens van. Goede oude tijden (toen we nog CD's/DVD's konden branden).

RRRobert @turkeyhakan • 6 mei 2026 08:50

Daemon Tools, ik dacht al, ik ken het ergens van. Goede oude tijden (toen we nog CD's/DVD's konden branden).

Ik heb even de zoekmachine aangeslingerd om tot het antwoord te komen op exact hetzelfde vraag

Jolijter @turkeyhakan • 6 mei 2026 08:52

Kan dat nu niet meer?

turkeyhakan @Jolijter • 6 mei 2026 08:52

Zeker wel, maar ik zie mijzelf dat niet meer doen :-) Heb nog wel wat lege CD's in de kast liggen van heel wat jaar terug.

WillySis @turkeyhakan • 6 mei 2026 09:05

Ik gebruik nog steeds CD's / DVD's voor back-ups van data van afgeronde opdrachten. Anders loopt mijn nas veel te snel vol met data die in principe niet meer gebruikt gaat worden. Ik bewaar back-ups van opdrachten minimaal 5 jaar, tenzij het contract een langere bewaartijd eist.

Ik krijg ook nog steeds data op CD / DVD aangeleverd. Zo niet, dan zet ik de aangeleverde data altijd direct op een CD / DVD, zodat ik altijd terug kan naar de originele data.

armageddon_2k1 @WillySis • 6 mei 2026 09:06

Een DVD is 4,7GB. Een beetje nas heb je al snel 4TB inzitten. Hoeveel opdrachten doe jij dat je NAS tesnel vol loopt.

WillySis @armageddon_2k1 • 6 mei 2026 09:27

@turkeyhakan

Ik doe tegenwoordig nog maar heel weinig opdrachten, maar tot vijf jaar geleden kon dat wel oplopen tot twee per week. Gecomprimeerd kan je iets van 7 GB op een DVD kwijt met 2 tot 5 DVD's per opdracht is het toch zat. Naast dat het ruimte vrij maakt op de nas blijft het vooral overzichtelijk. Het is data die zelden tot nooit opnieuw gebruikt wordt. Op mijn NAS wil ik geen data die niet meer gebruikt zal / mag worden.

Op een schijfje kan je bovendien netjes van wat tekst voorzien (brand ik er ook op). Ik kan zo snel een oude opdracht terugvinden. Met een USB stick is dat lastig. Een HDD is best groot. Een 5 tal DVD's is compacter en ik vind het handig om alles op één soort medium te bewaren.

Ablaze @armageddon_2k1 • 6 mei 2026 09:28

Dvd-r is prima als offline backup van de belangrijkste documenten. Er zijn archival grade dvd-r te koop die tot 100 jaar meegaan. Dat is een duidelijke meerwaarde.

turkeyhakan @WillySis • 6 mei 2026 09:07

Op een CD of DVD kun je toch niet zo veel data kwijt? Kun je dan niet beter een USB/SSD/HDD gebruiken?

Carlos0_0 6 mei 2026 08:41

Zo he ik dacht Daemon Tools wat is dat ook al weer, dat heb ik al 10 jaar of langer niet meer gehoord.
Grappig dat dit nog bestaat nostalgie

.

6 mei 2026 08:48

Daemon Tools is populaire software voor Windows [...]

Dat is een naam die ik al een lange tijd niet gehoord heb. De tijd dat het populaire software was, ligt ergens in het vorige decennium

CriticalHit_NL 6 mei 2026 08:49

Maar goed dat ik al het een tijdje niet meer gebruik i.v.m. de Javelin anti-cheat de drivers ervan weigert maar ook zelden updates deed omdat 'het toch werkte'.

Enige voordeel dat Daemontools had t.a.v. gewoon een game naar .iso rippen is dat het .mdx formaat ook cd-audio-tracks kon behouden, maar daar zijn vast andere manieren voor.

Gebruik nu voornamelijk WinCDEmu voor het mounten die ook Autorun ondersteund maar ook kan rippen, enkel voor dergelijke game cd's met audio-tracks zal ik wat anders zoals ImgBurn o.i.d. moeten gaan gebruiken.

WinCDEmu heeft overigens geen probleem met Javelin anti-cheat.

fuzzyIon 6 mei 2026 08:55

Daarom: zoveel software van zoveel verschillende bronnen maakt het risico op een supplychain aanval alleen maar groter.

CriticalHit_NL @fuzzyIon • 6 mei 2026 09:08

Enkel browser extensies die worden gehijacked is al genoeg, of een lek in je specifieke browser versie bij het laden van bepaalde content bij een 0-day exploit.

Het is sowieso altijd goed opletten met software maar niks is waterdicht en niet alles wordt bekend, daarom worden OS-exploits soms ook pas na ruim 15 jaar gevonden

maar ondertussen wel uitgebuit door degene die er vanaf weten, blijft een wapenwedloop en heeft geen zin om jezelf hierin te willen beperken voor wat schijnveiligheid.

Het OS zoals Windows heeft ook zo zijn dingen gehad, nog bekend met Windows Gadgets? Dat is eruit gehaald omdat het een onveilige directe ingang was tot elke PC omdat de data die de gadgets ophaalden niet gecontroleerd werden en ook met dezelfde privileges draaide als de ingelogde gebruiker wat het vatbaar maakte voor onder anderen remote execution exploits.

Wil je dan afhankelijk zijn van de Microsoft Store, die vaak vastloopt met het laden van updates of helemaal niet reageert om de meest vage redenen en foutcodes, die je totaal geen controle geeft welke versie van de software je wilt behouden, die geen donatie-software ondersteund en ontwikkelaars forceert een betaalbedrag eraan te hangen, dat soms ook nog eens vereist dat je een Microsoft Account moet gebruiken om überhaupt te kunnen downloaden/installeren en ook lang niet alle software bevat?

Nee, dat liever ook weer niet.

fuzzyIon @CriticalHit_NL • 6 mei 2026 09:21

Een repo systeem zoals op linux en *BSD.

CriticalHit_NL @fuzzyIon • 6 mei 2026 09:28

Maar helaas lijkt dat dus ook niet waterdicht als je kijkt naar de recente problemen rondom NPM packages die malware bevatten, even afgezien van de zaken die ook bij Linux van toepassing zijn zoals de recente Copy Fail exploit.

Niets is echt blind veilig te noemen.

fuzzyIon @CriticalHit_NL • 6 mei 2026 09:33

CopyFail was geen supplychain aanval maar daarom niet minder ernstig. Ja ieder OS heeft zijn uitdagingen gehad.

Om te kunnen reageren moet je ingelogd zijn