Volver al inicio

Hackeo de CPUID: Troyano en CPU-Z y HWMonitor

Sitio web de CPUID comprometido: enlaces a CPU-Z y HWMonitor llevaron al troyano STX RAT vía DLL maliciosa. El ataque afectó a más de 150 usuarios, incluidas empresas. Relacionado con campañas anteriores desde julio de 2025. Recomendaciones para protección y verificaciones del sistema.

Troyano en lugar de CPU-Z: cómo fue hackeado el sitio web de CPUID
Advertisement 728x90

Sitio web de CPUID comprometido: Versiones maliciosas de utilidades populares de diagnóstico para PC

El sitio web de CPUID, fabricante de herramientas de diagnóstico, fue blanco de un ataque donde los enlaces de descarga de CPU-Z y HWMonitor conducían a archivos infectados. Esto provocó la propagación de un Troyano de Acceso Remoto (RAT) entre los usuarios, incluidos profesionales de TI.

Mecanismo del ataque y detalles técnicos

Los atacantes reemplazaron los enlaces en el recurso oficial, redirigiendo a los visitantes a archivos comprimidos que contenían software malicioso. Los paquetes infectados incluían un archivo ejecutable legítimo de la utilidad y una biblioteca maliciosa CRYPTBASE.dll. Al iniciarse, el sistema cargaba esta biblioteca, activando una cadena que finalmente instalaba el troyano STX RAT. Este opera en memoria, proporcionando control remoto y robo de datos.

El ataque afectó a las versiones CPU-Z 2.19, HWMonitor 1.63 y 1.57 Pro, PerfMonitor 2.04. La compilación de 64 bits de HWMonitor resultó particularmente vulnerable. La actividad de los hackers se estima entre el 3 y el 10 de abril, con un pico desde las 15:00 UTC del 9 de abril hasta las 10:00 UTC del 10 de abril.

Google AdInline article slot

Objetivos y consecuencias para los usuarios

Las utilidades de CPUID son ampliamente utilizadas para el monitoreo de hardware, abarcando desde entusiastas hasta administradores corporativos. Estos usuarios suelen trabajar con datos confidenciales —cuentas, claves de acceso y VPN—. El troyano podría haber capturado sesiones, cookies y contraseñas, abriendo caminos hacia redes internas de empresas.

Según expertos, más de 150 personas se vieron afectadas, principalmente ciudadanos privados. Sin embargo, organizaciones de los sectores minorista, manufactura, consultoría, telecomunicaciones y agricultura también fueron víctimas. Esto resalta los riesgos para negocios donde las herramientas de diagnóstico son omnipresentes.

  • Riesgos clave para las víctimas:

- Acceso remoto al dispositivo.

Google AdInline article slot

- Robo de credenciales y tokens de sesión.

- Acceso a recursos corporativos mediante VPN.

- Propagación potencial dentro de redes locales.

Google AdInline article slot

Conexión con incidentes anteriores

Este ataque refleja las tácticas de la campaña de marzo que involucraba a FileZilla falso: sustitución de DLL, infraestructura similar y dominios de comando y control. Los expertos rastrean elementos de la cadena hasta julio de 2025, lo que indica un grupo organizado con métodos refinados. Este enfoque minimiza la detección al disfrazarse como actualizaciones oficiales.

Contexto e importancia industrial

El compromiso de los canales de distribución de software es una amenaza creciente en ciberseguridad. Los factores de éxito incluyen la confianza de la marca y controles débiles de integridad de descarga. Las consecuencias implican la necesidad de verificar hashes de archivos y transitar a actualizaciones firmadas. Para la industria, esto señala la necesidad de fortalecer la verificación de proveedores.

Contexto general: según informes de la industria, tales ataques a la cadena de suministro aumentaron un 30% durante el año. Se recomienda a los usuarios escanear sus sistemas y actualizar el software antivirus.

Puntos clave

  • Los hackers reemplazaron enlaces en cpuid.com, extendiendo el STX RAT mediante DLL.
  • Versiones afectadas CPU-Z 2.19, HWMonitor 1.63/Pro 1.57; más de 150 víctimas.
  • Vinculación con ataques desde julio de 2025, incluido el incidente de FileZilla de marzo.
  • Sitio limpiado para el 10 de abril, pero los riesgos para usuarios corporativos persisten.
  • Recomendación: Verificar hashes y usar sandbox para pruebas.

— Editorial Team

Advertisement 728x90

Leer después