CPUID.com supply chain: STX RAT distribuito via CPU-Z e HWMonitor per 19 ore tramite compromissione API

Tra il 9 aprile (15:00 UTC) e il 10 aprile (10:00 UTC) 2026, un attore ignoto ha compromesso un'API secondaria del sito CPUID.com — responsabile della generazione dei link di download — reindirizzando le richieste verso file malevoli ospitati su Cloudflare R2 e altri domini. Come confermato dallo stesso sviluppatore e analizzato da The Hacker News, i binari originali firmati non sono stati toccati: l'attacco intercettava esclusivamente il layer di distribuzione. Gli installer trojanizzati contenevano un eseguibile legittimo firmato affiancato da una DLL malevola denominata CRYPTBASE.dll, progettata per sfruttare DLL side-loading e simulare una libreria di sistema Windows. Il payload finale è STX RAT, un remote access trojan con capacità HVNC, infostealer, esecuzione in-memory di EXE/DLL/PowerShell/shellcode e funzionalità di tunneling/reverse proxy. Kaspersky ha identificato oltre 150 vittime, con concentrazione in Brasile, Russia e Cina, e impatto anche su organizzazioni in retail, manifattura, telecomunicazioni e agricoltura. La catena C2 (95.216.51[.]236) e i domini di distribuzione coincidono con una precedente campagna contro installer FileZilla falsificati, attribuita a un operatore russo con motivazioni finanziarie o da initial access broker, attiva dal luglio 2025.

Software coinvolti: CPU-Z 2.09, HWMonitor 1.52/1.63, PerfMonitor 2 — scaricati tra il 9 e il 10 aprile 2026.
Azione raccomandata: chi ha scaricato questi tool nel periodo indicato deve considerare il sistema compromesso, eseguire una scansione completa, e cambiare immediatamente tutte le password salvate nei browser (Chrome è il target primario del malware).

Fonti: ACN, The Hacker News