**CPUID**, la empresa detrás de herramientas populares de monitoreo de hardware como CPU-Z, HWMonitor, HWMonitor Pro y PerfMonitor, confirmó que su sitio web (cpuid[.]com) fue comprometido por menos de 24 horas. Durante este período, los actores de amenazas reemplazaron los instaladores de software legítimos con ejecutables maliciosos diseñados para desplegar el STX RAT. ### Cronología del Ataque El incidente ocurrió entre aproximadamente el 9 de abril a las 15:00 UTC y el 10 de abril a las 10:00 UTC. Las URL de descarga para los instaladores de CPU-Z y HWMonitor fueron específicamente atacadas, redirigiendo a los usuarios a sitios web maliciosos. ### Respuesta de CPUID En una declaración compartida en X, **CPUID** reconoció la brecha, atribuyéndola a un compromiso de una "característica secundaria (básicamente una API lateral)" que llevó a que el sitio principal mostrara enlaces maliciosos de forma aleatoria. La empresa enfatizó que los archivos originales firmados de su software permanecieron intactos. ### Sitios Web Maliciosos Identificados Según **Kaspersky**, los siguientes sitios web fueron utilizados para distribuir el software troyanizado: * cahayailmukreatif.web[.]id * pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev * transitopalermo[.]com * vatrobran[.]hr El software malicioso se distribuyó tanto en archivos ZIP como en instaladores independientes. Estos archivos contenían un ejecutable legítimo y firmado junto con un archivo DLL malicioso llamado 'CRYPTBASE.dll'. Este DLL aprovecha la técnica de carga lateral de DLL para ejecutar código malicioso. ### Despliegue de STX RAT El DLL malicioso inicia la comunicación con un servidor externo y descarga payloads adicionales después de realizar verificaciones anti-sandbox para evadir la detección. El objetivo final es desplegar el STX RAT, conocido por sus capacidades HVNC (Hidden VNC) y sus extensas funciones de robo de información. Según el análisis de **eSentire**, STX RAT ofrece un amplio conjunto de comandos para control remoto, actividades de post-explotación y ejecución de payloads de seguimiento, incluyendo la ejecución en memoria de EXE/DLL/PowerShell/shellcode, proxy inverso/túneles e interacción de escritorio. ### Conexión con Campañas Anteriores La dirección del servidor de comando y control (C2) y la configuración de conexión utilizada en este ataque se observaron previamente en una campaña que involucraba instaladores troyanizados de **FileZilla** alojados en sitios web falsos. Esta actividad anterior, documentada por **Malwarebytes**, también implicó el despliegue del STX RAT. ### Impacto y Victimología **Kaspersky** ha identificado más de 150 víctimas, principalmente individuos. Sin embargo, organizaciones en sectores como el minorista, manufactura, consultoría, telecomunicaciones y agricultura también se han visto afectadas. La mayoría de las infecciones se encuentran en Brasil, Rusia y China. ### Atribución y Postura de Seguridad **Kaspersky** destacó que la reutilización por parte de los atacantes de la misma cadena de infección y nombres de dominio C2 de la campaña anterior de **FileZilla** permitió una detección más rápida del ataque de "watering hole". Evaluaron el desarrollo de malware, el despliegue y las capacidades de seguridad operativa general del actor de amenazas como "bastante bajas".