ataque a CPUID STX RAT: La reciente comprometimiento de CPUID que distribuyó el STX RAT a través de descargas troyanizadas de CPU-Z y HWMonitor es un ejemplo claro de ataque de cadena de suministro contra software legítimo ampliamente utilizado. Un grupo aún no identificado consiguió acceso al dominio oficial de CPUID (cpuid[.]com) durante un breve pero crítico intervalo de tiempo, alterando los ejecutables de descarga para propagar un malware de control remoto.
¿Qué es ataque a CPUID STX RAT y por qué es relevante?
Puntos clave del incidente de CPUID y el STX RAT
📥 Descarga gratis: Checklist de Respuesta ante Ransomware
Guía paso a paso para las primeras 72 horas tras un ataque: contención, notificación al AEPD, preservación de evidencias y protocolo de negociación. Descárgala gratis aquí →
- Víctima y duración: El dominio principal de CPUID estuvo comprometido aproximadamente desde el 9 de abril a las 15:00 UTC hasta el 10 de abril a las 10:00 UTC de 2026.
- Software afectado: Los instaladores maliciosos se sirvieron para herramientas populares como CPU-Z, HWMonitor, HWMonitor Pro y PerfMonitor.
- Payload final: El objetivo era desplegar el troyano de acceso remoto conocido como STX RAT, otorgando control completo del sistema a los atacantes.
- Mecanismo: Un claro ataque a la cadena de suministro, explotando la confianza de los usuarios en un sitio web de software legítimo.
- Contexto: Incidentes similares contra proveedores de software de diagnóstico y monitorización han aumentado, buscando comprometer a entusiastas del hardware, jugadores y profesionales IT.
Análisis de la brecha en el sitio web de CPUID
Según las investigaciones que hemos podido recopilar, la intrusión en el servidor web de CPUID fue precisa y de corta duración, lo que sugiere una operación bien planificada. El método de acceso inicial sigue sin esclarecerse públicamente, pero los analistas barajan desde la explotación de una vulnerabilidad en el CMS del sitio hasta el compromiso de credenciales de administrador. La ventana de oportunidad para los atacantes, de menos de 24 horas, indica un conocimiento del tráfico y los hábitos de descarga, posiblemente para maximizar el impacto minimizando la detección. ataque a CPUID STX RAT es clave para entender el alcance de esta amenaza.
Durante ese periodo, los ejecutables alojados en el sitio fueron reemplazados por versiones modificadas. Estas versiones, al ser ejecutadas por el usuario, realizaban su función legítima de análisis de hardware mientras, en segundo plano, desplegaban el troyano STX RAT. Esta técnica de ‘trojanización’ es particularmente peligrosa porque el software se comporta como se espera, reduciendo las sospechas del usuario.
¿Cómo evadía el malware las defensas de seguridad?
Las muestras analizadas del instalador malicioso mostraban técnicas de evasión básicas pero efectivas. El código del RAT se ofuscaba ligeramente y el proceso malicioso se iniciaba como un servicio o proceso legítimo del sistema, a menudo con nombres que imitaban componentes de Windows o del propio software de monitorización. En las primeras horas, la tasa de detección por parte de los antivirus de venta al público era notablemente baja, lo que permitió una propagación silenciosa.
Capacidades y características del troyano STX RAT
El STX RAT es una herramienta de acceso remoto de tipo commodity, es decir, disponible en foros clandestinos, que ofrece un amplio abanico de funcionalidades a un atacante. Una vez instalado, establece persistencia en el sistema y se conecta a un servidor de comando y control (C2) desde el que recibe órdenes. Su panel de control permite a los operadores realizar prácticamente cualquier acción en el equipo víctima.
Entre sus capacidades más críticas, detectadas en análisis de sandbox, se encuentran la captura de pulsaciones de teclado (keylogging), el robo de credenciales almacenadas en navegadores, la activación remota de la webcam y el micrófono, la exfiltración de documentos y la ejecución de código o scripts adicionales. Esto lo convierte en una amenaza integral para la privacidad y la seguridad, tanto para usuarios domésticos como para entornos corporativos donde se utilicen estas herramientas de diagnóstico.
¿Quién está detrás del STX RAT y cuál es su objetivo?
La autoría del ataque contra CPUID permanece, a día de hoy, sin atribuir. El uso de un RAT de tipo commodity como STX dificulta la atribución, ya que puede ser empleado por cualquier actor, desde cibercriminales hasta grupos patrocinados por estados. El perfil de las víctimas potenciales—usuarios de software técnico de hardware—sugiere que el objetivo podría ser el robo de propiedad intelectual, el espionaje industrial o la creación de una red de bots para posteriores campañas. La motivación financiera directa (como el ransomware) no parece ser la principal en esta fase.
Impacto y recomendaciones de seguridad tras el ataque
El impacto real de este incidente es difícil de cuantificar, pero potencialmente amplio, dado los millones de descargas que registran anualmente herramientas como CPU-Z. Los usuarios que descargaron e instalaron cualquiera de las aplicaciones afectadas desde el sitio oficial durante la ventana de compromiso están en riesgo de haber sido infectados. CPUID, tras recuperar el control de su sitio, emitió un comunicado instando a los usuarios a verificar las sumas de comprobación (hashes) de los archivos y a descargar nuevamente las herramientas desde una fuente limpia.
Desde el punto de vista de la ciberinteligencia, este caso subraya la creciente sofisticación de los ataques a la cadena de suministro de software. Ya no se trata solo de grandes proveedores de sistemas operativos o suites ofimáticas; ahora cualquier herramienta de nicho con una base de usuarios fiel es un objetivo valioso para introducir malware de forma masiva y selectiva.
Medidas para usuarios y equipos de respuesta
Para los usuarios, la lección es clara: incluso las descargas de sitios oficiales pueden ser maliciosas. Recomendamos, en primer lugar, utilizar herramientas de verificación de integridad (como las sumas SHA-256 publicadas por el fabricante) siempre que estén disponibles. En segundo lugar, mantener un antivirus de nueva generación (NGAV) o una solución EDR actualizada, ya que su capacidad heurística puede detectar comportamientos sospechosos incluso en archivos firmados digitalmente. Para los equipos de seguridad corporativos, este incidente debe servir para revisar las políticas de whitelisting de software y considerar el sandboxing de aplicaciones de terceros de alto riesgo.
El análisis forense en equipos potencialmente afectados debe buscar artefactos relacionados con conexiones salientes a direcciones IP o dominios no asociados a CPUID, procesos con nombres incongruentes y entradas de persistencia nuevas en el registro de Windows o carpetas de inicio. La pronta detección y contención son cruciales para mitigar el robo de datos.
Recursos y fuentes oficiales:
📥 Checklist de Respuesta ante Ransomware — descarga gratuita
Hemos sintetizado cientos de horas de experiencia en incidentes reales en una checklist práctica para las primeras 72 horas tras un ataque de ransomware: contención del incidente, comunicación legal, cumplimiento con la AEPD y protocolo de negociación. Descárgala gratis — sin registro, sin trampa.