Hackers verstopten zich een maand lang in populaire software die miljoenen mensen gebruiken
Wereldwijd, woensdag, 6 mei 2026.
Cybercriminelen hebben sinds 8 april 2026 de officiële website van Daemon Tools gekapt en versturen kwaadaardige updates naar gebruikers wereldwijd. Het geraffineerde van deze aanval: de malware draagt een geldig digitaal certificaat van de ontwikkelaar zelf. Hierdoor vertrouwen antivirusprogramma’s de software blind. Meer dan 100 landen zijn getroffen, waaronder Nederland. Vooral verontrustend is dat 10% van de slachtoffers bedrijven zijn. Bij overheidsorganisaties en wetenschappelijke instellingen installeerden de hackers handmatig extra spionagesoftware.
Verraderlijke aanval misbruikt vertrouwen in digitale handtekeningen
De cyberaanval op Daemon Tools in de Verenigde Staten toont hoe kwetsbaar Nederlandse gebruikers zijn voor supply chain-aanvallen [1]. Hackers hebben sinds 8 april 2026 kwaadaardige code ingevoegd in versies 12.5.0.2421 tot 12.5.0.2434 van de populaire software [2][3]. Het perfide: de malware draagt een geldig digitaal certificaat van ontwikkelaar AVB Disc Soft [1]. Hierdoor slaan antivirusprogramma’s geen alarm. Daemon Tools vraagt tijdens installatie om administratieve rechten - nodig voor het emuleren van virtuele schijfstations [1]. Zodra gebruikers toestemming geven, nestelt de malware zich diep in Windows via een legitieme systeemservice [1]. De aanvallers registreerden het valse domein env-check.daemontools.cc al op 27 maart 2026 [3]. Kaspersky-onderzoeker Georgy Kucherin waarschuwt: ‘Gebruikers vertrouwen software met een digitale handtekening van een officiële bron blindelings’ [1].
Nederlandse bedrijven en overheden in het vizier van spionagecampagne
De aanval trof meer dan 100 landen, met de meeste slachtoffers in Rusland, Brazilië, Turkije, Spanje, Duitsland, Frankrijk, Italië en China [2][4]. Verontrustend: 10 procent van de getroffen systemen behoort tot bedrijven en organisaties [2][3]. Bij een dozijn specifieke doelen - overheidsorganisaties, wetenschappelijke instellingen en fabrieken in Rusland, Belarus en Thailand - installeerden hackers handmatig complexere spionagesoftware [2][4]. Op één machine van een Russische onderwijsinstelling ontdekten onderzoekers de geavanceerde QUIC RAT-malware [2][4]. Deze kan zich verstoppen in Windows-processen als notepad.exe [2]. Chinese taalfragmenten in de code wijzen op een mogelijke oorsprong, maar de aanval is nog niet officieel toegeschreven [4]. Tot 5 mei 2026 was de supply chain-aanval nog steeds actief [3].
Directe actie vereist: deïnstalleer en scan systemen
Nederlandse gebruikers moeten Daemon Tools onmiddellijk deïnstalleren en een volledige systeemscan uitvoeren [1]. Bedrijven moeten hun netwerk controleren op de aanwezigheid van ‘Daemon Tools Lite’ en getroffen computers isoleren [1]. De malware verzamelt gevoelige data zoals MAC-adressen, hostnamen, actieve processen en geïnstalleerde software [3]. Kaspersky heeft ontwikkelaar AVB Disc Soft inmiddels geïnformeerd [1]. Een woordvoerder van Disc Soft verklaarde: ‘We zijn op de hoogte van het rapport en onderzoeken de situatie. Ons team behandelt deze zaak met de hoogste prioriteit’ [5]. Deze aanval onderstreept een zorgwekkende trend: supply chain-aanvallen zijn in 2026 de meest voorkomende cyberdreiging voor bedrijven, terwijl slechts 9 procent van organisaties dit als topprioriteit ziet [1].