Ataque CPUID: Breach en HWMonitor distribuye malware STX RAT

La ciberseguridad es una confianza implícita que otorgamos a los desarrolladores de software, asumiendo que el archivo que descargamos del sitio oficial es exactamente el mismo que el programador creó. Sin embargo, en un mundo donde la cadena de suministro digital es tan compleja como vulnerable, esta confianza puede ser utilizada en nuestra contra. El reciente ataque CPUID ha puesto esto de manifiesto de la manera más cruda posible, comprometiendo herramientas esenciales para millones de usuarios y convirtiendo utilidades legítimas en vectores de infección para el peligroso STX RAT.

Anatomía de un Compromiso: El Incidente CPUID

Entre el 9 de abril de 2026 (alrededor de las 15:00 UTC) y el 10 de abril (10:00 UTC), la integridad de uno de los pilares del monitoreo de hardware, cpuid.com, fue vulnerada. CPUID es ampliamente reconocido por aplicaciones indispensables como CPU-Z y HWMonitor, herramientas utilizadas por entusiastas, técnicos de TI y profesionales para supervisar voltajes, temperaturas y especificaciones críticas del sistema. El atacante no modificó los binarios originales, sino que orquestó un asalto a la “puerta de entrada” de la distribución.

Según la información técnica recolectada, los atacantes explotaron una vulnerabilidad en un API secundario del sitio web. Esta brecha permitió manipular dinámicamente los enlaces de descarga. En lugar de recibir el software genuino, los usuarios eran redirigidos a servidores de terceros, específicamente infraestructuras alojadas en Cloudflare R2, donde se servía un paquete troyanizado llamado “HWiNFO_Monitor_Setup”. Este archivo malicioso se hacía pasar por una utilidad legítima, pero ocultaba una carga útil diseñada para el espionaje y el control total del equipo infectado.

El Peligro del STX RAT

El núcleo de este ataque es el STX RAT (Remote Access Trojan), una pieza de malware de alta sofisticación identificada recientemente por investigadores de seguridad. A diferencia de las amenazas comunes, el STX RAT está diseñado para la persistencia y la extracción de datos sensibles mediante técnicas avanzadas:

• HVNC (Hidden Virtual Network Computing): Permite a los atacantes controlar el escritorio de la víctima a través de una sesión oculta, realizando operaciones sin que el usuario se percate.
• Infostealer: Capacidad de robo de credenciales almacenadas en navegadores, cookies de sesión y datos de billeteras de criptomonedas.
• Ejecución en Memoria: El uso de técnicas de carga reflectante permite que el malware se ejecute casi en su totalidad en la RAM, dificultando enormemente la detección por parte de soluciones EDR (Endpoint Detection and Response) tradicionales.
• Anti-Sandbox: Antes de ejecutarse, el malware realiza comprobaciones de entorno para detectar si está siendo analizado por investigadores o sistemas automatizados, autodestruyéndose en caso de sospecha.

La Técnica de Infección: DLL Sideloading

Uno de los aspectos más técnicos del ataque es cómo los actores de amenazas lograron evadir el análisis inicial. Al descargar el paquete malicioso, el usuario obtenía una carpeta que incluía el binario original y legítimo de la herramienta CPUID, pero acompañado de un archivo malicioso renombrado como “CRYPTBASE.dll”.

Esta técnica, conocida como DLL Sideloading, es extremadamente eficaz. El ejecutable legítimo, al iniciar, busca automáticamente ciertas librerías (DLL) en su directorio local antes de mirar en las carpetas del sistema. Al colocar una versión maliciosa de una DLL necesaria en el mismo directorio, el software legítimo carga el código del atacante automáticamente, otorgándole al malware los mismos privilegios que el software monitor. Es, en esencia, un secuestro de la confianza que el sistema operativo deposita en el software firmado.

Impacto y Alcance Geográfico

Aunque el periodo de exposición fue relativamente corto (aproximadamente 19 horas), la popularidad de las herramientas de CPUID garantiza que el alcance sea masivo. Investigadores han identificado más de 150 víctimas confirmadas en sectores críticos, incluyendo manufactura, consultoría, telecomunicaciones y agricultura. Geográficamente, la mayor concentración de infecciones se ha detectado en Brasil, Rusia y China.

El uso de infraestructura reutilizada —la misma C2 (Comando y Control) utilizada en campañas anteriores contra FileZilla— sugiere que los atacantes no son necesariamente operadores de élite, sino grupos oportunistas que están perfeccionando sus tácticas de “reempaquetado” de software para monetizar el acceso a entornos corporativos.

Acciones Inmediatas para Organizaciones y Usuarios

Si usted o su organización descargaron o actualizaron herramientas de CPUID (CPU-Z, HWMonitor, PerfMonitor) durante el periodo mencionado (del 9 al 10 de abril de 2026), es imperativo tratar el sistema afectado como **comprometido**. No basta con eliminar el ejecutable malicioso; la naturaleza de un RAT implica que pudo haber desplegado otros payloads o establecido persistencia en el registro de Windows.

1. Aislamiento: Desconecte el equipo de la red inmediatamente para evitar la exfiltración de datos o el movimiento lateral dentro de la infraestructura corporativa.
2. Escaneo Forense: Realice una búsqueda profunda utilizando indicadores de compromiso (IoC) actualizados, enfocándose en la presencia de archivos DLL sospechosos en directorios de aplicaciones y rastros de PowerShell ejecutándose con privilegios elevados.
3. Cambio de Credenciales: Asuma que todas las contraseñas, cookies de sesión, tokens de autenticación y claves privadas de billeteras criptográficas en el equipo están expuestos. Proceda a un restablecimiento general desde un dispositivo seguro.
4. Reinstalación desde Fuente Segura: Formatee el sistema comprometido si es posible. Si no, desinstale cualquier rastro de las herramientas afectadas y reinstale solo desde el sitio web oficial una vez que se confirme que la infraestructura ha sido saneada.

Este episodio nos recuerda que ninguna cadena de suministro es invulnerable. La ciberseguridad proactiva hoy exige una política de “cero confianza” (Zero Trust) incluso para el software que consideramos un estándar en nuestra caja de herramientas. La vigilancia constante y el análisis de comportamiento son nuestras únicas líneas de defensa reales contra amenazas que, como el ataque CPUID, se disfrazan de nuestra propia utilidad.