De website van CPUID, bekend van hardware monitoring tools zoals CPU-Z en HWMonitor, is kortdurend gehackt waarbij kwaadaardige uitvoerbare bestanden werden verspreid. Tussen 9 april 15:00 UTC en 10 april 10:00 UTC werden de downloadlinks van CPU-Z en HWMonitor vervangen door links naar malafide websites, waardoor gebruikers een remote access trojan (RAT) genaamd STX RAT konden binnenhalen.

CPUID bevestigde de inbreuk via een bericht op X en gaf aan dat een secundaire functionaliteit, een zogenaamde side API, was gecompromitteerd. Hierdoor toonde de hoofdpagina willekeurig schadelijke downloadlinks, terwijl de originele, ondertekende bestanden niet waren aangetast. Volgens Kaspersky werden de schadelijke bestanden aangeboden als ZIP-archieven en standalone installateurs. Deze bevatten een legitieme, ondertekende executable en een kwaadaardige DLL met de naam 'CRYPTBASE.dll', die via DLL side-loading werd ingeladen.

De kwaadaardige DLL maakt verbinding met een externe server en voert aanvullende payloads uit, na het uitvoeren van anti-sandbox controles om detectie te voorkomen. Het uiteindelijke doel is het installeren van STX RAT, een geavanceerde remote access trojan met HVNC-functionaliteit en uitgebreide infostealer mogelijkheden. Volgens eSentire biedt STX RAT een breed scala aan commando’s voor remote controle, uitvoering van vervolgpayloads en post-exploitatie acties zoals in-memory uitvoering van EXE, DLL, PowerShell en shellcode, reverse proxy en desktop interactie.

De command-and-control (C2) server en configuratie zijn hergebruikt uit een eerdere campagne waarbij trojaanse FileZilla installateurs werden ingezet om dezelfde RAT te verspreiden, zoals beschreven in een vorige analyse. Kaspersky heeft inmiddels meer dan 150 slachtoffers geïdentificeerd, voornamelijk particulieren, maar ook organisaties in sectoren als retail, productie, consultancy, telecommunicatie en landbouw. De meeste besmettingen bevinden zich in Brazilië, Rusland en China.

Kaspersky benadrukt dat de aanvallers een cruciale fout maakten door dezelfde infectieketen en domeinnamen voor C2-communicatie te hergebruiken als bij de eerdere FileZilla-aanval. Dit wijst op beperkte operationele beveiliging en malwareontwikkeling, wat het mogelijk maakte de aanval snel te detecteren en te stoppen.