Naruszenie CPUID wykorzystane do dystrybucji STX RAT przez trojanizowane instalatory CPU-Z i HWMonitor

Wprowadzenie do problemu / definicja

Kompromitacja zaufanych kanałów dystrybucji oprogramowania należy do najgroźniejszych scenariuszy w cyberbezpieczeństwie. W takim modelu atakujący nie muszą bezpośrednio przełamywać zabezpieczeń stacji roboczej ofiary — wystarczy, że przejmą kontrolę nad miejscem, z którego użytkownicy pobierają legalne narzędzia. W kwietniu 2026 roku taki incydent dotknął serwis CPUID, wykorzystywany do dystrybucji popularnych aplikacji diagnostycznych, w tym CPU-Z oraz HWMonitor.

Skutkiem naruszenia było przekierowywanie części użytkowników do złośliwych plików podszywających się pod oficjalne instalatory. Kampania kończyła się wdrożeniem trojana zdalnego dostępu STX RAT, co pokazuje, jak niebezpieczne może być nadużycie zaufania do znanej marki i rozpoznawalnego oprogramowania.

W skrócie

• Oficjalna witryna CPUID przez mniej niż dobę kierowała część użytkowników do złośliwych instalatorów.
• Fałszywe pakiety podszywały się pod CPU-Z, HWMonitor, HWMonitor Pro i PerfMonitor.
• Łańcuch infekcji wykorzystywał technikę DLL sideloading z użyciem podstawionej biblioteki CRYPTBASE.dll.
• Końcowym ładunkiem był STX RAT, wyposażony w funkcje zdalnej kontroli, kradzieży danych i ukrytej obsługi pulpitu.
• Wśród ofiar znaleźli się zarówno użytkownicy indywidualni, jak i organizacje z różnych sektorów.

Kontekst / historia

Incydent rozpoczął się 9 kwietnia 2026 roku około 15:00 UTC i trwał do 10 kwietnia około 10:00 UTC. W tym czasie legalne odnośniki pobierania zostały zastąpione adresami prowadzącymi do infrastruktury kontrolowanej przez napastników. Producent wskazał, że źródłem problemu było przejęcie wtórnego komponentu serwisu, określanego jako dodatkowa funkcja lub poboczne API, które losowo wyświetlało złośliwe linki na stronie.

Według publicznych komunikatów nie doszło do modyfikacji oryginalnych podpisanych plików przechowywanych po stronie dostawcy. Oznacza to, że atak był wymierzony przede wszystkim w warstwę dystrybucji i przekierowanie użytkownika, a nie w samo repozytorium binariów. Taki model jest szczególnie skuteczny, ponieważ ofiara nadal ufa stronie, nazwie programu i reputacji producenta.

Badacze zwrócili także uwagę na podobieństwa do wcześniejszych kampanii wykorzystujących spreparowane instalatory popularnych narzędzi administracyjnych. W analizach pojawiły się powiązania z operacją opartą na fałszywych instalatorach FileZilla, co sugeruje ponowne użycie części infrastruktury i schematu infekcji.

Analiza techniczna

Złośliwe pakiety były dostarczane jako archiwa ZIP oraz samodzielne instalatory. W środku znajdował się legalny plik wykonywalny odpowiadający danemu produktowi oraz złośliwa biblioteka DLL o nazwie CRYPTBASE.dll. Celem było wykorzystanie techniki DLL sideloading, w której aplikacja ładuje bibliotekę z lokalnego katalogu zamiast zaufanej lokalizacji systemowej.

Mechanizm działania był prosty i trudny do wykrycia przez mniej zaawansowane zabezpieczenia. Użytkownik uruchamiał pozornie prawidłowy program, a wraz z nim ładowana była podstawiona biblioteka. Dzięki temu złośliwy kod wykonywał się w kontekście legalnej aplikacji, co utrudniało wykrycie wyłącznie na podstawie reputacji procesu lub podpisu cyfrowego pliku EXE.

Według analiz złośliwa biblioteka nawiązywała połączenie z zewnętrzną infrastrukturą i pobierała kolejne komponenty ładunku, zanim wdrożony został właściwy STX RAT. Łańcuch infekcji zawierał również mechanizmy anty-sandboxowe ograniczające uruchamianie w środowiskach analitycznych. To typowe podejście dla kampanii, których celem jest wydłużenie czasu działania bez wykrycia.

STX RAT oferuje szeroki zestaw funkcji post-exploitation. Publiczne analizy wskazują na możliwość zdalnego sterowania hostem, uruchamiania dodatkowych payloadów, wykonywania kodu w pamięci, tunelowania ruchu, obsługi reverse proxy oraz funkcji HVNC, czyli ukrytej sesji pulpitu niewidocznej dla użytkownika końcowego. Dodatkowo malware wykazuje cechy infostealera, co zwiększa ryzyko kradzieży poświadczeń, danych sesyjnych i informacji systemowych.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem udanej infekcji jest pełne lub częściowe przejęcie stacji roboczej przez operatora malware. W praktyce oznacza to ryzyko utraty poufności danych, naruszenia integralności systemu oraz przejęcia tożsamości używanych na zainfekowanym urządzeniu. W środowisku firmowym pojedynczy punkt końcowy może stać się punktem wejścia do dalszej penetracji sieci.

Szczególnie niebezpieczny jest fakt, że wektor wejścia opierał się na legalnym, szeroko wykorzystywanym narzędziu administracyjnym. Takie aplikacje bywają uruchamiane przez administratorów, serwisantów i pracowników wsparcia technicznego, często na systemach z podwyższonymi uprawnieniami. W takim przypadku zagrożenie może obejmować ruch boczny, kradzież uprzywilejowanych poświadczeń, wdrożenie dodatkowego malware, a nawet przygotowanie środowiska pod atak ransomware.

Dodatkowym utrudnieniem jest to, że legalny program działał równolegle ze złośliwą biblioteką, więc użytkownik mógł nie zauważyć żadnych anomalii. To pokazuje, że sama obserwacja poprawnego działania aplikacji nie stanowi wiarygodnej metody oceny bezpieczeństwa pobranego pakietu.

Rekomendacje

Organizacje powinny traktować ten incydent jako wyraźny sygnał, że nawet oprogramowanie pobrane z oficjalnej strony wymaga dodatkowej walidacji. Samo zaufanie do marki nie może być jedynym kryterium bezpieczeństwa. Należy weryfikować integralność pakietów, podpisy cyfrowe, sumy kontrolne oraz zachowanie aplikacji po uruchomieniu.

• Monitorować ładowanie bibliotek DLL z katalogów aplikacji, zwłaszcza jeśli mają nazwy odpowiadające komponentom systemowym.
• Analizować połączenia sieciowe inicjowane przez narzędzia diagnostyczne, które zwykle nie komunikują się intensywnie z zewnętrzną infrastrukturą.
• Wykrywać tworzenie nietypowych procesów potomnych przez aplikacje administracyjne.
• Wdrożyć allowlisting aplikacji i kontrolę katalogów uruchomieniowych.
• Rozszerzyć reguły EDR/XDR o detekcję sideloadingu DLL, wykonania kodu w pamięci i tunelowania.

Jeżeli w organizacji pobierano CPU-Z, HWMonitor, HWMonitor Pro lub PerfMonitor między 9 a 10 kwietnia 2026 roku, warto przeprowadzić retrospektywne polowanie na zagrożenia. Obejmuje to identyfikację hostów, analizę artefaktów pobrań, przegląd obecności obcych bibliotek DLL w katalogach aplikacji oraz ocenę możliwych połączeń do infrastruktury C2.

W przypadku potwierdzenia infekcji konieczne są standardowe działania reagowania na incydent: izolacja hosta, zabezpieczenie pamięci i dysku do analizy, reset poświadczeń używanych na urządzeniu, przegląd kont uprzywilejowanych, analiza ruchu bocznego oraz ocena potrzeby szerszego containmentu w sieci.

Podsumowanie

Incydent związany z CPUID pokazuje, że naruszenie zaufanego kanału pobierania pozostaje jednym z najskuteczniejszych sposobów dostarczania malware. Nawet krótki okres podmiany linków wystarczył, by doprowadzić do infekcji i wdrożenia zaawansowanego trojana zdalnego dostępu.

Z technicznego punktu widzenia kluczowe było połączenie legalnego podpisanego binarium z podstawioną biblioteką DLL, co umożliwiło dyskretne uruchomienie STX RAT. Najważniejsza lekcja dla organizacji jest jasna: nie ufać bezwarunkowo samemu źródłu pobrania, monitorować sideloading DLL i traktować narzędzia administracyjne jako potencjalnie wysokiego ryzyka, gdy pojawiają się w nietypowym kontekście procesowym lub sieciowym.

Źródła

1. The Hacker News — CPUID Breach Distributes STX RAT via Trojanized CPU-Z and HWMonitor Downloads — https://thehackernews.com/2026/04/cpuid-breach-distributes-stx-rat-via.html
2. Securelist — CPU-Z / HWMonitor watering hole infection – a copy-pasted attack — https://securelist.com/tr/cpu-z/119365/
3. Malwarebytes — A fake FileZilla site hosts a malicious download — https://www.malwarebytes.com/blog/threat-intel/2026/03/a-fake-filezilla-site-hosts-a-malicious-download
4. CPUID — Official statement and incident communication — https://www.cpuid.com/