Nieznani atakujący przez blisko 19 godzin utrzymywali kontrolę nad stroną cpuid.com. To z niej wiele osób pobierało narzędzia do monitorowania sprzętu: CPU-Z, HWMonitor, HWMonitor Pro i PerfMonitor. Atakujący wykorzystali stronę do dystrybucji złośliwego systemu typu RAT (Remote Access Trojan) o nazwie STX RAT.
Co się stało?
Incydent trwał od 9 kwietnia do 10 kwietnia 2026. W tym oknie czasowym linki do pobrania instalatorów CPU-Z oraz HWMonitor zostały podmienione na odnośniki prowadzące do złośliwych witryn zewnętrznych. Sam CPUID potwierdził atak na platformie X, wyjaśniając, iż skompromitowane zostało „pomocnicze API”, przez co główna strona losowo wyświetlała złośliwe linki oryginalne, podpisane pliki pozostały nienaruszone.
Mechanizm ataku — DLL Side-Loading
Złośliwe pliki były dystrybuowane zarówno jako archiwa ZIP, jak i jako samodzielne instalatory. Każdy z nich zawierał:
- Legalny, podpisany plik wykonywalny odpowiedniego programu (np. CPU-Z)
- Złośliwą bibliotekę DLL o nazwie CRYPTBASE.dll, ładowaną techniką DLL side-loading
Biblioteka ta nawiązywała połączenie z zewnętrznym serwerem C2 i pobierała kolejne ładunki (STX RAT), wykonując wcześniej testy antysandbox w celu uniknięcia wykrycia.
Możliwości STX RAT
STX RAT to zaawansowane narzędzie zdalnego dostępu, które daje atakującemu praktycznie pełną kontrolę nad zainfekowaną maszyną. Dzięki wbudowanej funkcji HVNC (Hidden Virtual Network Computing) agresor może w ukryciu przejąć pulpit ofiary i operować na nim bez jej wiedzy. Narzędzie posiada wbudowane możliwości reverse proxy i tunelowania sieciowego, umożliwiające atakującemu utrzymanie trwałego dostępu do sieci ofiary. Na dokładkę STX RAT pełni funkcję infostealera – potrafi wykradać dane uwierzytelniające, pliki i inne wrażliwe informacje, czyniąc go kompleksowym narzędziem do długotrwałych operacji post-eksploitacyjnych.
Skala i ofiary
Kaspersky zidentyfikował ponad 150 ofiar, głównie użytkowników indywidualnych. Wśród poszkodowanych znalazły się też organizacje z sektorów: handlu detalicznego, produkcji, doradztwa, telekomunikacji i rolnictwa.
Błąd operacyjny atakujących
Ciekawostką jest to, iż atakujący popełnili poważny błąd operacyjny. Ponownie użyli tej samej infrastruktury C2 i łańcucha infekcji, który wcześniej zastosowali w kampanii z trojanizowanymi instalatorami FileZilla (udokumentowanej przez Malwarebytes w marcu 2026 r.). Kaspersky wprost stwierdził, iż ogólne zdolności operacyjne grupy stojącej za atakiem są niskie, co paradoksalnie ułatwiło szybkie wykrycie kompromitacji.
Jeśli pobierałeś CPU-Z lub HWMonitor między 9 a 10 kwietnia 2026 r., natychmiast przeskanuj system pod kątem obecności CRYPTBASE.dll w katalogu instalacji.
Więcej na:
https://thehackernews.com/2026/04/cpuid-breach-distributes-stx-rat-via.html
https://www.pcmag.com/news/hacker-hijacks-downloads-for-popular-pc-monitoring-tools-to-serve-malware
