Un atacante comprometió la distribución de software en cpuid.com y, durante una ventana limitada entre el 9 y el 10 de abril de 2026, sirvió instaladores manipulados de CPU-Z y HWMonitor. Los paquetes incluían DLL sideloading con CRYPTBASE.dll y terminaban desplegando STX RAT, con capacidades de robo de información.
Las utilidades de diagnóstico de hardware suelen considerarse ‘de bajo riesgo’ por su aparente simplicidad, pero su popularidad y el hecho de ejecutarse con frecuencia en equipos de soporte y administración las convierte en un objetivo atractivo. En este contexto, un incidente reciente afectó a CPUID: no se trató de un fallo en el motor de CPU-Z o HWMonitor en sí, sino de una manipulación de la forma en la que los usuarios obtenían los instaladores desde cpuid.com, elevando el impacto potencial al terreno de la cadena de suministro.
La intrusión se centró en una funcionalidad secundaria tipo API dentro del entorno de CPUID que permitió alterar los enlaces de descarga publicados en su web. En lugar de entregar los instaladores legítimos desde la infraestructura esperada, durante un intervalo limitado los enlaces redirigían a ejecutables maliciosos alojados en un almacenamiento externo, concretamente Cloudflare R2. La ventana de exposición se acota a unas horas entre el 9 y el 10 de abril de 2026; distintas mediciones sitúan la actividad en un rango aproximado entre el 9 de abril 15:00 UTC y el 10 de abril 10:00 UTC, con un periodo de mayor concentración de alrededor de seis horas.
Un elemento clave para entender el alcance es que los binarios originales firmados de CPUID no fueron modificados: el problema estuvo en la cadena de distribución y en los paquetes efectivamente entregados a quienes descargaron en ese intervalo. Entre las versiones afectadas se citan CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 y PerfMonitor 2.04. Los instaladores troyanizados se construyeron combinando un ejecutable legítimo firmado con una biblioteca dinámica maliciosa llamada CRYPTBASE.dll, diseñada para ejecutarse mediante DLL sideloading. Esta técnica aprovecha cómo ciertas aplicaciones cargan DLLs desde su propio directorio o rutas previsibles, permitiendo que una DLL ‘plantada’ se cargue antes que la legítima.
Una vez cargada, CRYPTBASE.dll realiza comprobaciones de anti-sandbox para dificultar el análisis automatizado y, si el entorno parece ‘real’, establece comunicación con infraestructura de C2 (command and control) para recibir instrucciones o descargar componentes adicionales. La carga final identificada fue STX RAT, una familia con capacidades típicas de RAT e infostealer, orientada a obtener información del sistema y credenciales u otros datos útiles para el atacante. Este tipo de resultado es especialmente preocupante en equipos donde se inician sesiones de VPN, se accede a SSO, se usan gestores de contraseñas o se administran sistemas, porque un robo de credenciales puede escalar rápidamente a accesos no autorizados a servicios críticos.
El análisis técnico también apunta a solapamientos de infraestructura y configuración con campañas anteriores, incluyendo una que utilizó un sitio falso relacionado con FileZilla para distribuir descargas maliciosas. Esa reutilización sugiere un actor con ‘recetas’ de operación repetibles, capaz de adaptar el mismo patrón (web de descargas popular, empaquetado con sideloading, entrega de RAT) a distintos objetivos. Se documentaron más de 150 descargas de variantes maliciosas y se observaron víctimas en sectores como retail, manufactura, consultoría, telecomunicaciones y agricultura, con mayor concentración reportada en Brasil, Rusia y China.
Para respuesta a incidentes, lo prioritario es identificar endpoints que descargaron o instalaron las versiones afectadas durante la ventana del 9-10 de abril de 2026 y tratarlos como potencialmente comprometidos. En esos equipos conviene buscar evidencias de CRYPTBASE.dll, rastros de DLL sideloading asociados al instalador, y telemetría de red con conexiones salientes hacia infraestructura de C2 y IOCs publicados (hashes y URLs). Si hay indicios de ejecución, es recomendable aislar el equipo, recoger artefactos para análisis forense, y asumir exposición de secretos: rotar credenciales (incluidas sesiones en navegadores, tokens y accesos a herramientas corporativas), además de validar la integridad antes de reintroducir el sistema en producción. A medio plazo, el caso refuerza la necesidad de controles sobre software ‘auxiliar’: allowlisting, verificación de firmas, control del origen de instaladores y monitorización de cambios inusuales en cadenas de descarga, incluso cuando se trate de herramientas muy conocidas.
Más información
- BleepingComputer – CPUID hacked to deliver malware via CPU-Z, HWMonitor downloads : https://www.bleepingcomputer.com/news/security/supply-chain-attack-at-cpuid-pushes-malware-with-cpu-z-hwmonitor/
- Kaspersky Securelist – CPU-Z / HWMonitor watering hole infection – a copy-pasted attack : https://securelist.com/
Deja una respuesta