Il sito web ufficiale di CPU-Z e HWMonitor, strumenti gratuiti utilizzati da decine di milioni di utenti di PC in tutto il mondo per monitorare le prestazioni hardware, è stato compromesso il 9 aprile: per circa 19 ore, i download legittimi del software sono stati sostituiti di nascosto con programmi di installazione contenenti malware. Il Global Research Analysis Team (GReAT) di Kaspersky ha analizzato l’attacco, identificando più di 150 vittime confermate in diversi Paesi e collegando l’infrastruttura del malware a una campagna precedente.
CPU-Z e HWMonitor sono tra gli strumenti di diagnostica per PC più scaricati e vengono utilizzati regolarmente da appassionati di hardware, amministratori IT e assemblatori di sistemi per verificare la velocità dei processori, le temperature e il consumo energetico. La loro popolarità rende particolarmente elevato il rischio di compromissione: chiunque abbia scaricato il software dal sito cpuid.com tra le 15:00 UTC circa del 9 aprile e le 10:00 UTC del 10 aprile potrebbe aver installato una backdoor al posto del programma legittimo.
CPUID ha confermato la violazione e ha sospeso i download dopo la scoperta dell’attacco. L’analisi successiva condotta da Kaspersky GReAT ha rilevato che la finestra di vulnerabilità è durata circa 19 ore, ovvero circa tre volte più a lungo rispetto alle sei ore inizialmente indicate da CPUID.
Sono stati interessati quattro prodotti: CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 e PerfMonitor 2.04, distribuiti sia come programmi di installazione autonomi sia come archivi ZIP. Le precedenti segnalazioni pubbliche avevano individuato come coinvolti solo CPU-Z e HWMonitor.
Durante l’attacco, i link per il download presenti su cpuid.com sono stati sostituiti con URL che rimandavano a quattro siti web controllati dagli autori dell’attacco. Ciascuno dei pacchetti infettati da trojan includeva un eseguibile CPUID legittimo e firmato insieme a una DLL dannosa che, una volta eseguita, si connetteva a un server remoto e installava STX RAT, una backdoor completa in grado di sottrarre dati e fornire accesso remoto persistente. Kaspersky GReAT ha inoltre confermato che gli autori dell’attacco hanno distribuito la backdoor senza modifiche, rendendo così le regole YARA pubbliche esistenti in grado di rilevarla direttamente.
I ricercatori della community avevano già notato somiglianze tra l’infrastruttura utilizzata per questo attacco e una campagna del marzo 2026 basata su falsi programmi di installazione di FileZilla. L’analisi di Kaspersky GReAT conferma tale collegamento: l’indirizzo del server di comando e controllo e il formato di configurazione incorporato risultano identici a quelli utilizzati nella precedente operazione documentata da Malwarebytes.
“Gli attacchi alla supply chain e gli attacchi ‘watering hole’, in cui gli aggressori compromettono una fonte attendibile anziché prendere di mira direttamente le vittime, sono tra le minacce più difficili da contrastare, poiché gli utenti non hanno motivo di diffidare del software scaricato da un sito ufficiale. In questo caso, tuttavia, l’esecuzione dell’attacco ha ridotto l’impatto del suo stesso accesso: il riutilizzo di un’infrastruttura già documentata e di una backdoor nota e non modificata ha permesso a soluzioni di sicurezza aggiornate come Kaspersky Next di rilevare e bloccare il payload durante l’intero periodo di compromissione” , ha commentato Georgy Kucherin, Senior Security Researcher di Kaspersky GReAT.
Kaspersky GReAT ha individuato oltre 150 vittime grazie ai propri dati di telemetria. La maggior parte sono utenti privati, in linea con la natura consumer del software CPUID. Le organizzazioni colpite operano nei settori della vendita al dettaglio, della produzione, della consulenza, delle telecomunicazioni e dell’agricoltura. Brasile, Russia e Cina registrano il maggior numero di infezioni confermate.
Uno studio condotto da Kaspersky nel marzo 2026 ha rilevato che gli attacchi alla supply chain sono stati la minaccia informatica più comune affrontata dalle aziende nei 12 mesi precedenti; tuttavia, solo il 9% delle organizzazioni li ha classificati come una delle principali preoccupazioni.
Kaspersky consiglia a chiunque abbia scaricato software dal sito cpuid.com tra il 9 e il 10 aprile 2026 di seguire queste istruzioni:
- Controllare i registri di rete e DNS per verificare la presenza di connessioni ai quattro domini di distribuzione dannosi individuati nel rapporto tecnico.
- Cercare nei file system eventuali istanze non firmate del file CRYPTBASE.dll presenti insieme ai file dell'applicazione CPUID.
- Eseguire una scansione completa del sistema utilizzando un software di sicurezza aggiornato.
Un elenco completo degli indicatori di compromissione, inclusi gli hash dei file e gli URL dannosi, è disponibile nell’analisi tecnica completa di Kaspersky GReAT su Securelist.
