JAKARTA, Perspektif.co.id – Pengguna aplikasi populer Daemon Tools diminta meningkatkan kewaspadaan setelah ditemukan malware berbahaya yang menyusup ke installer resmi aplikasi tersebut sejak 8 April 2026. Serangan siber ini disebut telah berdampak pada korban di lebih dari 100 negara dan berpotensi mencuri berbagai data penting pengguna.

Yang mengejutkan, installer berisi malware itu didistribusikan langsung melalui situs resmi pengembang aplikasi dan bahkan dilengkapi tanda tangan digital sah sehingga sulit dikenali sebagai ancaman berbahaya.

Temuan tersebut diungkap tim peneliti keamanan siber Kaspersky GReAT. Mereka menyebut versi Daemon Tools untuk sistem operasi Windows yang terdampak berada pada rentang versi 12.5.0.2421 hingga 12.5.0.2434.

Menurut hasil investigasi, setelah installer yang telah disusupi trojan dipasang ke komputer korban, file berbahaya akan aktif secara otomatis setiap kali perangkat dinyalakan.

Malware tersebut kemudian mengirimkan permintaan koneksi ke server kendali jarak jauh yang dapat memberikan instruksi tambahan, termasuk mengunduh dan menjalankan program berbahaya lain tanpa disadari pengguna.

Pada tahap awal infeksi, malware diketahui mengumpulkan berbagai informasi sistem korban. Data yang dikumpulkan meliputi alamat MAC perangkat, nama host, domain DNS, daftar proses yang sedang berjalan, perangkat lunak terpasang, hingga pengaturan bahasa sistem komputer.

Tim peneliti menemukan malware menyusup ke sedikitnya tiga file penting dalam paket instalasi Daemon Tools, yakni DTHelper.exe, DiscSoftBusServiceLite.exe, dan DTShellHlp.exe.

Ketiga file tersebut berada di direktori instalasi default aplikasi pada folder C:\Program Files\Daemon Tools Lite.

Malware jenis backdoor itu akan aktif setiap kali salah satu file dijalankan. Setelah aktif, program berbahaya tersebut mengirimkan permintaan GET ke alamat URL berbahaya yang dirancang menyerupai domain resmi Daemon Tools agar tidak menimbulkan kecurigaan.

Meski ribuan perangkat dilaporkan terinfeksi, para peneliti menyebut pelaku hanya mengirimkan muatan serangan tahap kedua ke sejumlah target bernilai tinggi. Sasaran utama meliputi institusi pemerintah, sektor riset ilmiah, manufaktur, hingga ritel di Rusia, Belarus, dan Thailand.

Penargetan yang sangat selektif itu membuat peneliti menduga kuat bahwa operasi malware tersebut memang dirancang untuk menyerang individu dan organisasi tertentu, bukan sekadar serangan acak berskala massal.

Kaspersky menyatakan telah memberi tahu pengembang Daemon Tools, yakni AVB Disc Soft, mengenai insiden tersebut sesuai prosedur pengungkapan keamanan yang bertanggung jawab.

Perusahaan keamanan siber itu juga mengimbau seluruh pengguna Daemon Tools untuk segera melakukan pemindaian malware pada perangkat masing-masing serta mewaspadai proses sistem mencurigakan yang berjalan dari folder publik seperti Temp, AppData, atau Public.

Sementara itu, pihak AVB Disc Soft mengaku telah mengetahui laporan mengenai penyusupan malware tersebut dan kini tengah melakukan investigasi internal secara intensif.

“Kami mengambil semua langkah yang diperlukan untuk mengatasi potensi risiko dan memastikan keamanan pengguna kami,” kata perwakilan perusahaan.