El sitio oficial de CPUID (cpuid.com), conocido por herramientas de monitorización de hardware como CPU-Z, HWMonitor, HWMonitor Pro y PerfMonitor, fue brevemente comprometido a comienzos de abril. Durante menos de 24 horas, las descargas legítimas fueron sustituidas por instaladores troyanizados que desplegaban el troyano de acceso remoto STX RAT, lo que convierte este incidente en un caso representativo de ataque a la cadena de suministro de software y de watering hole.
Cronología del ataque y sustitución de descargas de CPU-Z y HWMonitor
Según datos del propio proveedor y de varias empresas de seguridad, el incidente se produjo entre el 9 de abril a las 15:00 UTC y el 10 de abril a las 10:00 UTC. En esa ventana de tiempo, los enlaces oficiales de descarga de CPU-Z y HWMonitor en cpuid.com redirigían de forma intermitente a sitios de terceros que alojaban instaladores maliciosos.
CPUID confirmó el compromiso a través de una publicación en X (antes Twitter) y lo vinculó a la explotación de un componente auxiliar, descrito como “funcionalidad secundaria” o API de soporte. Un fallo en este módulo permitía que el sitio principal inyectara aleatoriamente URLs maliciosas en lugar de los enlaces legítimos. Los binarios originales firmados por el desarrollador y distribuidos por otros canales no resultaron alterados, lo que indica un ataque dirigido a la capa web y no al proceso de compilación.
Vector técnico: instaladores troyanizados y uso de DLL side-loading
De acuerdo con el análisis de Kaspersky, los atacantes ofrecían versiones modificadas de CPU-Z y HWMonitor tanto en archivos ZIP como en instaladores ejecutables (EXE). En su interior se incluían dos piezas clave: el ejecutable legítimo y firmado de la herramienta y una biblioteca adicional denominada CRYPTBASE.dll.
La elección de este nombre no es casual. En Windows, los programas buscan primero las bibliotecas DLL en el mismo directorio del ejecutable antes de recurrir al sistema. Al introducir una CRYPTBASE.dll maliciosa junto al EXE, los atacantes explotan la técnica de DLL side-loading: el proceso legítimo carga una biblioteca falsa en lugar de la genuina, permitiendo la ejecución de código arbitrario bajo la apariencia de un proceso confiable.
La DLL maliciosa realiza inicialmente comprobaciones anti-sandbox para evitar su análisis automatizado: verificación de entorno virtualizado, análisis de tiempos de ejecución anómalos y otros indicadores típicos de laboratorios de malware. Solo si se cumplen sus condiciones de seguridad establece conexión con un servidor de mando y control (C2), descarga módulos adicionales y finalmente despliega STX RAT en el sistema comprometido.
STX RAT: troyano de acceso remoto con HVNC y capacidades avanzadas
El análisis publicado por eSentire describe a STX RAT como una herramienta multifunción que combina características de RAT clásico e infostealer. Una de sus funciones más críticas es HVNC (Hidden VNC), que permite al atacante controlar de forma oculta el escritorio de la víctima, sin mostrar ventanas visibles ni interacción aparente para el usuario.
Además, STX RAT incluye capacidades de robo de credenciales, exfiltración de archivos y datos sensibles, así como un amplio repertorio de comandos de post-explotación. Entre ellos destacan la ejecución sin archivos (fileless) de EXE, DLL, PowerShell o shellcode en memoria, creación de proxys inversos y túneles para evadir cortafuegos, y control interactivo remoto. Este conjunto de funciones lo convierte en una plataforma idónea para el movimiento lateral y el despliegue de malware adicional dentro de una red corporativa.
Reutilización de infraestructura C2 y relación con instaladores falsos de FileZilla
Los investigadores identificaron que en esta campaña se reutilizaban los mismos servidores C2 y parámetros de configuración observados previamente en ataques basados en instaladores falsos de FileZilla. En aquellos casos, descritos en detalle por Malwarebytes, los distribuibles maliciosos también terminaban instalando STX RAT en los equipos de las víctimas.
Este reaprovechamiento de la infraestructura es considerado por Kaspersky como el “error operativo más grave” de los atacantes. La baja disciplina de OPSEC y la ausencia de rotación de dominios y servidores facilitaron la correlación de incidentes y permitieron detectar y neutralizar con rapidez la ataque de tipo watering hole en el sitio de CPUID.
Alcance del incidente y países afectados
Kaspersky informó de la identificación de más de 150 sistemas comprometidos. La mayoría corresponden a usuarios domésticos, pero también se vieron afectados entornos empresariales de retail, fabricación, consultoría, telecomunicaciones y agricultura, lo que evidencia el atractivo de herramientas gratuitas y ampliamente usadas como vector inicial.
La distribución geográfica de los casos confirmados se concentra principalmente en Brasil, Rusia y China. No obstante, es probable que el número real de víctimas sea mayor, debido tanto a la brevedad del incidente como a la práctica habitual de muchos usuarios de no verificar la integridad ni la firma digital de los instaladores descargados.
Riesgos para la cadena de suministro de software y recomendaciones de protección
Los ataques que comprometen sitios oficiales y cadenas de suministro de software erosionan un pilar básico de la seguridad: la confianza en las fuentes legítimas. Casos anteriores como CCleaner o SolarWinds demostraron el impacto potencial de esta táctica en grandes organizaciones. En este escenario, un usuario que descarga CPU-Z o HWMonitor desde el dominio oficial rara vez cuestiona su autenticidad, lo que convierte a estas páginas en objetivos de alto valor para actores maliciosos.
Para reducir el riesgo de infección mediante instaladores troyanizados, resultan recomendables las siguientes medidas:
- Descargar software exclusivamente desde sitios oficiales o espejos verificados, evitando repositorios no confiables, foros y enlaces de terceros.
- Verificar la firma digital de los binarios y, cuando sea posible, contrastar las sumas de verificación (SHA‑256, SHA‑1, MD5) facilitadas por el desarrollador.
- Implantar soluciones modernas de protección (EDR/NGAV) con análisis de comportamiento, capaces de detectar DLL side-loading, ejecución fileless y conexiones de red anómalas.
- Aplicar el principio de mínimo privilegio, evitando ejecutar nuevas herramientas con cuentas administrativas si no es imprescindible.
- Utilizar controles de aplicaciones (listas blancas, AppLocker u opciones equivalentes) y mantener el sistema operativo y las soluciones de seguridad actualizadas.
- Formar a usuarios y personal técnico en la verificación de descargas y en la detección temprana de comportamientos sospechosos de aplicaciones “de confianza”.
El incidente de CPUID pone de relieve que incluso proveedores reputados pueden ser aprovechados como plataforma para distribuir malware avanzado como STX RAT. Reforzar los procesos de descarga, verificación e instalación de utilidades gratuitas, así como mejorar la visibilidad y el monitoreo en los endpoints, se ha convertido en una necesidad crítica tanto para usuarios individuales como para organizaciones que quieran elevar su nivel de ciberresiliencia.
