CPU-Z y HWMonitor infectados con Malware

Escrito por / 15 de abril de 2026 / Noticias Hacking y Seguridad Informática / Malware

CPUID sufrió una brecha de seguridad: CPU-Z y HWMonitor distribuyeron malware entre el 9 y 10 de abril. Guía completa para verificar y proteger tu sistema.

Si descargaste CPU-Z, HWMonitor o cualquier otra utilidad de CPUID en los últimos días, detente y lee esto inmediatamente.

Entre el 9 y 10 de abril de 2026, el sitio web oficial de CPUID (cpuid.com) fue comprometido por atacantes que reemplazaron los enlaces de descarga legítimos con versiones manipuladas cargadas de malware.

Aunque la brecha duró aproximadamente 19 horas antes de que CPUID recuperara el control y restaurara archivos limpios, esa ventana temporal fue suficiente para poner en riesgo a miles de usuarios en todo el mundo.

Si eres un entusiasta del hardware ejecutando benchmarks o un administrador de TI verificando especificaciones del sistema, esta situación requiere tu atención inmediata.

¿Qué software de CPUID fue comprometido?

Cuatro herramientas del catálogo de productos de CPUID fueron distribuidas en versiones infectadas durante la ventana del ataque:

  • CPU-Z (versión 2.19)
  • HWMonitor (versión 1.63)
  • HWMonitor Pro (versión 1.57)
  • PerfMonitor 2 (versión 2.04)

Los instaladores manipulados estaban disponibles tanto en formato de archivo ZIP como en ejecutable estándar. Lo que hizo este ataque particularmente sigiloso es que el ejecutable legítimo de CPUID, firmado digitalmente, seguía presente dentro de cada paquete. Todo parecía normal en la superficie.

La amenaza real estaba oculta a plena vista: un archivo DLL malicioso incluido junto al programa legítimo que ejecutaba el ataque en segundo plano.

¿Cómo funcionó el ataque? Explicación del DLL Sideloading

La técnica detrás de esta brecha se denomina DLL sideloading, un método bien conocido que continúa captando víctimas desprevenidas porque se integra perfectamente con el comportamiento normal del software.

Así funcionó paso a paso:

  1. Ejecutable legítimo incluido: Cada paquete infectado contenía la aplicación real de CPUID, firmada digitalmente, exactamente el archivo que esperarías en una descarga limpia.
  2. DLL malicioso implantado: Un archivo rogue denominado CRYPTBASE.dll fue colocado en el mismo directorio que el ejecutable.
  3. Windows carga la DLL automáticamente: Al iniciar el programa, Windows siguió su orden estándar de búsqueda de DLL y cargó la CRYPTBASE.dll maliciosa desde la carpeta local antes de verificar los directorios del sistema.
  4. Ejecución de comprobaciones anti-análisis: La DLL realizó verificaciones del entorno para detectar sandboxing o máquinas virtuales utilizadas por investigadores de seguridad.
  5. Conexión al servidor C2: Tras superar esas verificaciones, se conectó a un servidor remoto de comando y control (C2).
  6. Despliegue de la carga final: La DLL utilizó datos codificados de dirección MAC para reconstruir y desplegar la carga final: un troyano de acceso remoto (RAT) conocido como STX RAT.

STX RAT, documentado por la firma de ciberseguridad eSentire, permite a los atacantes monitorizar actividad, robar datos, ejecutar comandos y mantener acceso persistente a sistemas comprometidos, a menudo sin signos visibles.

El error crítico que cometieron los atacantes

Curiosamente, los responsables de esta brecha cometieron un error operativo importante: reutilizaron exactamente el mismo malware, infraestructura y configuración de una campaña anterior en marzo de 2026 que involucraba un sitio de descarga falso de FileZilla.

  • Mismos servidores C2
  • Misma compilación de STX RAT
  • Mismas firmas de código

Como resultado, las reglas de detección e indicadores de compromiso (IOCs) publicados tras la campaña de FileZilla ya eran efectivos contra este ataque.

Investigadores de Kaspersky señalaron que, aunque los atacantes comprometieron exitosamente un sitio web de alto tráfico, hicieron poco esfuerzo por evadir la detección una vez dentro.

¿Cuántas personas fueron afectadas?

Según datos de telemetría de Kaspersky, se identificaron más de 150 víctimas confirmadas durante la ventana de compromiso de 19 horas. Aunque la mayoría parecen ser usuarios individuales, varias organizaciones también resultaron afectadas en sectores como:

  • Comercio minorista
  • Manufactura
  • Consultoría
  • Telecomunicaciones
  • Agricultura

Los países con mayor número de infecciones detectadas fueron Brasil, Rusia y China. Aunque no se han publicado cifras oficiales para Estados Unidos, la popularidad de CPU-Z hace probable que usuarios allí también hayan sido impactados.

¿Qué hacer si descargaste software de CPUID durante la ventana del ataque?

Si descargaste alguna herramienta afectada entre:

  • 9 de abril a las 15:00 UTC y
  • 10 de abril a las 10:00 UTC

debes tratar tu sistema como potencialmente comprometido y tomar las siguientes medidas inmediatamente:

1. Ejecuta un análisis antivirus completo

No confíes en un escaneo rápido. Realiza un análisis completo del sistema utilizando software antivirus actualizado. La mayoría de las herramientas de seguridad principales ahora detectan STX RAT, gracias a las reglas YARA publicadas tras la campaña anterior.

Si es necesario, utiliza herramientas como Malwarebytes o Microsoft Defender Offline para un escaneo más profundo.

2. Verifica la presencia de la DLL maliciosa

Accede a la carpeta de instalación del software descargado y busca el archivo CRYPTBASE.dll.

Este archivo no debería existir en una instalación legítima. Su presencia es un fuerte indicador de compromiso.

3. Inspecciona los registros DNS

Si tienes acceso a registros DNS (router, Pi-hole o monitoreo empresarial), verifica conexiones a:

  • cahayailmukreatif.web[.]id
  • transitopalermo[.]com
  • vatrobran[.]hr
  • welcome.supp0v3[.]com

Cualquier coincidencia sugiere comunicación con infraestructura de atacantes.

4. Reinstala tu sistema operativo (si es necesario)

Si hay algún signo de compromiso, o si no puedes confirmar que tu sistema está limpio, la opción más segura es una reinstalación completa del sistema operativo.

Los troyanos de acceso remoto están diseñados para persistir y una instalación nueva es, la única forma de garantizar una eliminación completa.

Lecciones del ataque a la cadena de suministro de CPUID

Este incidente es un ejemplo de libro de texto sobre un ataque a la cadena de suministro de software, una amenaza creciente en el panorama actual de ciberseguridad.

Puntos clave para recordar:

  • Incluso los sitios web oficiales pueden ser comprometidos: Un dominio legítimo y una firma válida no son garantías de seguridad.
  • El timing es crítico: Estos ataques suelen ser de corta duración pero altamente efectivos.
  • Mantén tus herramientas de seguridad actualizadas: La detección existente funcionó aquí porque los atacantes reutilizaron malware conocido.
  • Verifica las descargas siempre que sea posible: Comprueba los hashes de archivo (por ejemplo, SHA-256) cuando estén disponibles.

CPUID ha restaurado su sitio web y confirmado que todas las descargas actuales están limpias y firmadas adecuadamente. Aun así, este incidente destaca una realidad importante:

En 2026, confiar en una descarga simplemente porque proviene de una fuente oficial ya no es suficiente. Mantente vigilante, actualiza tus sistemas y verifica siempre antes de instalar nuevo software.

Conclusión:

El compromiso de CPUID sirve como recordatorio de que ninguna fuente de software es inmune a ataques. Para usuarios que descargaron herramientas durante la ventana crítica, actuar rápidamente es esencial para mitigar riesgos.

Para el resto, este incidente refuerza la importancia de prácticas de seguridad básicas: mantener software actualizado, verificar hashes de descarga y emplear soluciones antivirus robustas.

En un mundo donde los ataques a la cadena de suministro se sofistican constantemente, la vigilancia no es opcional: es una necesidad. Tu sistema, tus datos y tu privacidad dependen de ello.

Vistas: 4

🔥 LO MÁS VISTO DE ESTA CATEGORÍA