Cómo el hackeo de CPUID distribuye malware a través de CPU-Z y HWMonitor

• Vector de ataque: Los ciberatacantes comprometieron una API secundaria de CPUID, modificando los enlaces de descarga oficiales de CPU-Z y HWMonitor.
• Malware distribuido: Las versiones troyanizadas descargan un cargador avanzado que despliega el infostealer STX RAT mediante la técnica de DLL sideloading.
• Técnicas de evasión: El malware opera casi por completo en memoria, realiza comprobaciones anti-sandbox y proxifica funciones de NTDLL para evadir EDR/AV.
• Víctimas: Más de 150 descargas confirmadas, afectando a usuarios individuales y organizaciones en sectores como retail, manufactura y telecomunicaciones, principalmente en Brasil, Rusia y China.
• Estado actual: CPUID ha solucionado la brecha tras aproximadamente 6 horas de exposición. Se recomienda verificar las sumas de comprobación (hashes) de los archivos descargados.

malware CPU-Z HWMonitor hackeo CPUID: El malware en CPU-Z y HWMonitor por el hackeo de CPUID representa un ataque sofisticado a la cadena de suministro de software que ha comprometido herramientas de diagnóstico de hardware utilizadas por millones de usuarios. A principios de abril de 2026, actores de amenazas obtuvieron acceso a una interfaz de programación de aplicaciones (API) del proyecto CPUID, alterando los enlaces de descarga en su portal oficial para servir ejecutables maliciosos disfrazados de las populares utilidades CPU-Z, HWMonitor, HWMonitor Pro y PerfMonitor.

¿Qué es malware CPU-Z HWMonitor hackeo CPUID y por qué es relevante?

El ataque a la cadena de suministro de CPUID: metodología y alcance

Según las investigaciones de firmas de seguridad y el análisis de nuestros equipos, el incidente se desarrolló durante una ventana aproximada de seis horas, entre el 9 y el 10 de abril de 2026. Los atacantes no comprometieron los binarios originales firmados por CPUID, sino que envenenaron los enlaces de distribución que apuntaban desde el sitio web oficial. En lugar de descargar las herramientas legítimas, los usuarios eran redirigidos a un servicio de almacenamiento Cloudflare R2 que alojaba un instalador malicioso con el nombre HWiNFO_Monitor_Setup. malware CPU-Z HWMonitor hackeo CPUID es clave para entender el alcance de esta amenaza.

Este archivo, que nada tenía que ver con la herramienta HWiNFO de otro desarrollador, se presentaba como un instalador en ruso empaquetado con Inno Setup, una anomalía que levantó las primeras sospechas en foros especializados como Reddit. La sofisticación de la operación sugiere, según fuentes del sector, que el grupo responsable ya había ejecutado una campaña similar el mes anterior contra usuarios de FileZilla, utilizando la misma infraestructura de comando y control (C2).

Mecanismo de inyección del malware en las descargas

El malware en CPU-Z y HWMonitor por el hackeo de CPUID se sirvió de una arquitectura de descarga externa. Los binarios legítimos permanecían intactos en los servidores de CPUID, pero el sistema de entrega estaba comprometido. Cuando un usuario hacía clic en el enlace de descarga desde la web oficial, se le entregaba un paquete ZIP que contenía dos elementos: el ejecutable legítimo y firmado de la herramienta (por ejemplo, hwmonitor_1.63.exe) y una biblioteca de vínculos dinámicos (DLL) maliciosa llamada CRYPTBASE.dll.

Esta DLL era el caballo de Troya real. Al ejecutar el instalador legítimo, este, por diseño, cargaba automáticamente bibliotecas DLL desde su directorio local. Los atacantes aprovecharon este comportamiento legítimo mediante la técnica de DLL sideloading: el ejecutable firmado e inocente cargaba involuntariamente la CRYPTBASE.dll maliciosa, otorgándole todos los privilegios de ejecución. Este método permite eludir muchas soluciones de seguridad, ya que el proceso padre es de total confianza.

Análisis técnico del cargador y el payload final

Los investigadores que analizaron las muestras, como los de vxunderground y Kaspersky, destacan que no se trata de un malware común. El cargador es multietapa, opera casi por completo en la memoria del sistema (fileless) y emplea técnicas avanzadas para evadir la detección. Antes de conectarse a su servidor de comando y control, el código realiza una serie de comprobaciones para identificar si se está ejecutando en un entorno sandbox de análisis.

Una de las técnicas más llamativas documentadas es la proxificación de funciones de NTDLL desde un ensamblado .NET. Básicamente, el malware intercepta y redirige llamadas críticas al sistema operativo a través de su propio código, lo que le permite ocultar sus actividades a herramientas de detección y respuesta de puntos finales (EDR) y antivirus. En VirusTotal, el paquete ZIP era detectado de forma genérica por unos 20 motores, con etiquetas como Tedy Trojan o Artemis Trojan, sin una clasificación unánime que alertara claramente del peligro.

STX RAT: el infostealer que llega a los sistemas

El objetivo final del ataque era desplegar el STX RAT, un malware de acceso remoto (RAT) con capacidades de robo de información documentado previamente por eSentire. Una vez establecida la conexión con el C2 y superadas las comprobaciones de evasión, el cargador descarga y ejecuta este RAT en memoria. El STX RAT permite a los atacantes tomar el control remoto del sistema comprometido, robar credenciales almacenadas en navegadores, capturar pulsaciones de teclas y exfiltrar cualquier documento de valor.

La reutilización de la misma infraestructura de C2 observada en el ataque a FileZilla en marzo apunta a un grupo de amenazas persistente que está refinando su modus operandi. Su objetivo es claro: aprovechar la confianza depositada en sitios web de desarrolladores de software legítimos y muy descargados para lograr una distribución masiva y sigilosa de su malware.

Impacto geográfico y sectorial de la campaña

Según los datos de telemetría de Kaspersky, se confirmaron más de 150 descargas exitosas de las variantes maliciosas durante la ventana de compromiso. Aunque la mayoría de las víctimas fueron usuarios individuales, el malware también logró infiltrarse en sistemas de varias organizaciones. Los sectores más afectados incluyen el comercio minorista (retail), la manufactura, la consultoría, las telecomunicaciones y la agricultura.

Geográficamente, las descargas maliciosas se concentraron principalmente en Brasil, Rusia y China. Este patrón no necesariamente indica el origen de los atacantes, sino la efectividad de la campaña en esas regiones durante las horas de mayor actividad. La naturaleza global de las herramientas de CPUID, sin embargo, significaba que cualquier usuario en el mundo que descargara el software durante ese período crítico estaba en riesgo.

Cómo verificar si tu descarga es legítima y próximos pasos

CPUID ha asegurado que el problema fue identificado y solucionado, y que los enlaces ahora sirven nuevamente las versiones originales. No obstante, como analistas de ciberinteligencia, recomendamos siempre una postura de verificación proactiva. Si has descargado CPU-Z (versión 2.19), HWMonitor Pro (1.57), HWMonitor (1.63) o PerfMonitor (2.04) entre el 9 y el 10 de abril de 2026, debes tomar medidas inmediatas.

En primer lugar, verifica la suma hash (SHA-256) del instalador con la publicada en la página oficial de CPUID. Si no coinciden, desinstala inmediatamente el software y ejecuta un análisis completo con un antivirus actualizado. Cambia todas las contraseñas que pudieran haber estado almacenadas en el navegador de ese sistema, especialmente las de acceso a servicios críticos como banca online o correo electrónico corporativo.

Para las organizaciones, este incidente subraya la necesidad de implementar controles robustos de integridad del software. Las soluciones de seguridad avanzadas (EDR/XDR) configuradas para detectar comportamientos sospechosos como la carga de DLL desde rutas de usuario o la creación de conexiones de red inusuales desde procesos legítimos pueden ayudar a mitigar los efectos de ataques de DLL sideloading como el que explotó el malware en CPU-Z y HWMonitor por el hackeo de CPUID.

---