Backdoor in Daemon Tools: Thousands of Windows PCs Infected

La dinamica dell’attacco: come una backdoor entra in azienda

Il 5 maggio 2026, i ricercatori di Kaspersky hanno pubblicato un’analisi tecnica che ha immediatamente attirato l’attenzione della comunità della sicurezza informatica. Secondo quanto riportato da TechCrunch, il vettore di attacco è Daemon Tools, software ampiamente diffuso in ambito Windows per la gestione di immagini disco in formato ISO e simili.

In particolare, gli attaccanti avrebbero distribuito versioni modificate del programma attraverso canali non ufficiali. Gli utenti che hanno scaricato e installato queste versioni hanno inconsapevolmente aperto una porta d’accesso remota ai propri sistemi. Pertanto, il danno non è legato a una vulnerabilità del software originale, bensì alla sostituzione dell’installer con una copia compromessa.

Kaspersky stima migliaia di tentativi di infezione e almeno dodici compromissioni confermate. Tuttavia, il numero reale potrebbe essere significativamente più elevato, considerando che molte PMI non dispongono di strumenti di rilevamento avanzati.

Chi c’è dietro: l’ipotesi degli hacker cinesi

I ricercatori di Kaspersky attribuiscono l’operazione a un gruppo di minacce presumibilmente legato alla Cina. Tuttavia, l’attribuzione in ambito cyber rimane sempre un’operazione complessa. Infatti, gli indicatori tecnici — tra cui l’infrastruttura di comando e controllo e le tecniche di offuscamento — sono coerenti con campagne già documentate in passato da altri vendor di sicurezza.

According to Gartner Cybersecurity Insights, gli attacchi alla supply chain del software sono in crescita costante. Di conseguenza, non sorprende che un software popolare come Daemon Tools sia diventato un vettore strategico. Analogamente, episodi simili hanno già coinvolto in passato strumenti come CCleaner e SolarWinds.

Oltre a questo, la scelta di Daemon Tools non è casuale. Il software è particolarmente diffuso in contesti aziendali medio-piccoli, spesso privi di policy rigide sulla gestione delle installazioni. Dunque, il profilo delle vittime potenziali coincide esattamente con quello delle PMI italiane.

Immediate impact on Italian SMEs with Windows machine fleets

Italian small and medium-sized businesses represent a significant share of Windows users in Europe. In many cases, internal IT departments are small or absent. For this reason, software management often occurs informally, with downloads from unverified sources.

Quindi, il rischio concreto per una PMI è duplice. Prima di tutto, c’è il rischio di esfiltrazione di dati sensibili — credenziali, dati di clienti, informazioni finanziarie — attraverso la backdoor installata. In seguito, una volta compromesso un endpoint, l’attaccante può muoversi lateralmente all’interno della rete aziendale, raggiungendo sistemi critici.

We of SHM Studio lavoriamo quotidianamente con PMI che gestiscono dati di clienti B2B e retail. Pertanto, comprendiamo bene quanto un singolo endpoint compromesso possa diventare il punto d’ingresso per una violazione di portata ben più ampia. La digital strategy di un’azienda non può prescindere da un presidio minimo di sicurezza informatica.

What to do now: priority actions in the next 48 hours

Faced with an active and documented threat, the response must be swift and methodical. Here are the priority actions that every IT manager or SME owner should initiate immediately.

• Installation Census Check all company devices for the presence of Daemon Tools. Verify the installed version and the hash of the executable file against the official ones.
• Preventive isolation qualsiasi macchina con installazioni di origine dubbia va isolata dalla rete aziendale fino a completamento dell’analisi.
• Scan with updated tools: eseguire una scansione completa con soluzioni EDR o antivirus aggiornati alle definizioni più recenti. Kaspersky ha già rilasciato firme specifiche per questa minaccia.
• Download Policy Review: introdurre o rafforzare le policy aziendali sull’installazione di software, limitando i download ai soli canali ufficiali e verificati.
• Notify the DPO: se i sistemi compromessi trattano dati personali, valutare l’obbligo di notifica al Garante Privacy entro 72 ore, come previsto dal GDPR.

Inoltre, è consigliabile consultare il catalogo CISA delle vulnerabilità sfruttate attivamente for real-time updates on this and other related threats.

Il cantiere ancora aperto: supply chain security come priorità strutturale

Questo incidente non è un episodio isolato. Al contrario, si inserisce in una tendenza consolidata che vede gli attaccanti prendere di mira la catena di distribuzione del software piuttosto che i sistemi target direttamente. Secondo ricerche recenti di McKinsey, organizations that invest in software supply chain controls significantly reduce their exposed attack surface.

Tuttavia, per molte PMI italiane la supply chain security rimane un concetto astratto. Infatti, la priorità operativa quotidiana lascia poco spazio alla pianificazione strategica della sicurezza. Eppure, come dimostra il caso Daemon Tools, anche un software di utilità apparentemente banale può diventare un vettore critico.

For this reason, the AI and automation consulting che SHM Studio offre alle PMI include sempre una valutazione del rischio digitale complessivo. Integrare la sicurezza nei processi di digitalizzazione non è un costo aggiuntivo: è una condizione necessaria per la continuità operativa. Analogamente, la scelta degli strumenti digitali — dai web systems alle piattaforme di marketing — deve tenere conto dei requisiti di sicurezza fin dalla fase di progettazione.

Outlook: What awaits us in the coming months

La campagna documentata da Kaspersky potrebbe non essere conclusa. Pertanto, nelle prossime settimane è probabile che emergano nuovi indicatori di compromissione e ulteriori vittime. Inoltre, è ragionevole attendersi che altri software di utilità Windows — con base utenti ampia e controlli di distribuzione limitati — vengano presi di mira con tecniche simili.

In questo scenario, le PMI italiane che operano nel B2B e nel retail devono accelerare la transizione verso modelli di gestione IT più strutturati. Ciò non significa necessariamente dotarsi di un SOC interno. Significa, invece, adottare pratiche minime di igiene digitale: gestione centralizzata degli aggiornamenti, controllo degli accessi privilegiati, formazione periodica del personale.

Infine, chi gestisce campagne digitali — su Google Ads, you LinkedIn o attraverso attività di SEO — deve considerare che un sistema compromesso può invalidare mesi di lavoro. I dati di analytics, le credenziali delle piattaforme pubblicitarie e i contenuti del corporate blog sono tutti asset esposti in caso di breach. Dunque, la sicurezza informatica non è una questione esclusivamente tecnica: è una componente del digital marketing e della reputazione online. Per approfondire o richiedere una valutazione, è possibile Contact the SHM Studio team. The Strategic copywriting e la presenza digitale di un’azienda valgono tanto quanto la sicurezza dei sistemi che li ospitano.