🔍 Contexte

Source : Securelist (Kaspersky), publié le 10 avril 2026. Le site cpuid.com, hébergeant les installateurs des outils d’administration système CPU-Z, HWMonitor, HWMonitor Pro et PerfMonitor 2, a été compromis dans le cadre d’une attaque de type watering hole.

🕐 Chronologie

La compromission a eu lieu entre le 9 avril 2026 à 15h00 UTC et le 10 avril 2026 à 10h00 UTC, soit une fenêtre d’attaque de moins de 24 heures. Les URLs de téléchargement légitimes ont été remplacées par des URLs pointant vers quatre sites malveillants.

⚙️ Chaîne d’attaque

Les fichiers malveillants (archives ZIP et installateurs autonomes) contenaient :

  • Un exécutable légitime signé du produit concerné
  • Une DLL malveillante nommée CRYPTBASE.dll exploitant la technique de DLL Sideloading

La DLL malveillante effectue des vérifications anti-sandbox, puis se connecte au serveur C2. Elle contient un tableau de adresses MAC dont les valeurs hexadécimales forment la charge utile du stade suivant. La configuration embarquée inclut un champ referrer valorisé à "cpz" (abréviation de CPU-Z) et un callback vers hxxps://welcome.supp0v3[.]com/d/callback.

🔗 Réutilisation d’infrastructure

L’acteur a réutilisé la même adresse C2 et la même configuration que lors d’une campagne de mars 2026 impliquant un faux site FileZilla. Le RAT final déployé est le STX RAT, précédemment documenté par eSentire, et détectable par les règles YARA publiées dans ce rapport.

🎯 Victimologie

Plus de 150 victimes identifiées, majoritairement des individus, mais aussi des organisations dans les secteurs :

  • Commerce de détail
  • Industrie manufacturière
  • Conseil
  • Télécommunications
  • Agriculture

Pays les plus touchés : Brésil, Russie, Chine.

📄 Nature de l’article

Il s’agit d’une analyse technique et rapport d’incident publié par Kaspersky/Securelist, visant à documenter la chaîne d’attaque, identifier les IoCs et caractériser les capacités opérationnelles de l’acteur menaçant.

🧠 TTPs et IOCs détectés

TTP

  • T1189 — Drive-by Compromise (Initial Access)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)

IOC

  • Domaines : cahayailmukreatif.web.idVT · URLhaus · ThreatFox
  • Domaines : pub-45c2577dbd174292a02137c18e7b1b5a.r2.devVT · URLhaus · ThreatFox
  • Domaines : transitopalermo.comVT · URLhaus · ThreatFox
  • Domaines : vatrobran.hrVT · URLhaus · ThreatFox
  • Domaines : welcome.supp0v3.comVT · URLhaus · ThreatFox
  • URLs : https://welcome.supp0v3.com/d/callbackURLhaus
  • URLs : https://cahayailmukreatif.web.id/sw-content/template/hwmonitor/hwinfo_monitor_setup.exeURLhaus
  • URLs : https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/perfmonitor/perfmonitor-2_2.04.zipURLhaus
  • URLs : https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/perfmonitor/PerfMonitor2_Setup.exeURLhaus
  • URLs : https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/hwmonitor-pro/hwmonitor-pro_1.57.zipURLhaus
  • URLs : https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/hwmonitor_1.63.zipURLhaus
  • URLs : https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/hwmonitor/hwinfo_monitor_setup.exeURLhaus
  • URLs : https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/cpu-z_2.19-en.zipURLhaus
  • URLs : https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev/hwmonitor-pro/hwmonitorpro_1.57_setup.exeURLhaus
  • URLs : https://transitopalermo.com/config/hwmonitor/hwmonitor_1.63.zipURLhaus
  • URLs : https://transitopalermo.com/config/hwmonitor-pro/hwmonitorpro_1.57_setup.exeURLhaus
  • URLs : https://transitopalermo.com/config/hwmonitor/HWiNFO_Monitor_Setup.exeURLhaus
  • URLs : https://vatrobran.hr/en-GB/info/hwmonitor/hwmonitor_1.63.zipURLhaus
  • URLs : https://vatrobran.hr/en-GB/info/cpu-z/cpu-z_2.19-en.zipURLhaus
  • URLs : https://vatrobran.hr/en-gb/info/hwmonitor/hwinfo_monitor_setup.exeURLhaus
  • URLs : https://vatrobran.hr/en-GB/info/hwmonitor-pro/HWMonitorPro_1.57_Setup.exeURLhaus
  • SHA256 : d0568eaa55f495fd756fa205997ae8d93588d2a2VT · MalwareBazaar
  • SHA256 : 02a53d660332c25af623bbb7df57c2aad1b0b91bVT · MalwareBazaar
  • SHA256 : 9253111b359c610b5f95ef33c2d1c06795ab01e9VT · MalwareBazaar
  • SHA256 : 2f717a77780b8f6b2d853dc4df5ed2b90a3a349aVT · MalwareBazaar
  • SHA256 : 7c615ce495ac5be1b64604a7c145347adbcd900cVT · MalwareBazaar
  • SHA256 : c417c3a4b094646d06a06103639a5c9faabc9ba4VT · MalwareBazaar
  • SHA256 : 8351a43a0c0455e4b0793d841fe12625f072f9b4VT · MalwareBazaar
  • SHA256 : 6a71656c289201f742787f48398056fcd2aa7274VT · MalwareBazaar
  • SHA256 : 24bbfcfea0c79f640a4eec99ffdae3ccd315786VT · MalwareBazaar
  • SHA256 : c65e515b9c9655c651c939b94574cf39b40a8be2VT · MalwareBazaar
  • SHA256 : 3041a4e2bc5ccefbfd2222a9e23614fb79d6db63VT · MalwareBazaar
  • SHA256 : 4e3195399a9135247e55781ad13226c6b0e86c0dVT · MalwareBazaar
  • SHA256 : 4597f546a622ae55e0775cbcc416b3f1dfd096ceVT · MalwareBazaar
  • SHA256 : a06955d253711385eaa6f5af76fa9fa47bdeb1e9VT · MalwareBazaar
  • SHA256 : 6b49823483889bc1ad152a1be52d1385c4e0affbVT · MalwareBazaar
  • SHA256 : 4f3d8c47239bd1585488ce431d931457f1011040cVT · MalwareBazaar
  • SHA256 : ba19e03ca03785e89010672d7e273ac343e4699aVT · MalwareBazaar
  • SHA256 : e2464454017cd02a8bc6744596c384cf91cdd67eVT · MalwareBazaar
  • Fichiers : CRYPTBASE.dll
  • Fichiers : CRYPTBASE.dll.bin
  • Fichiers : cpu-z_2.19-en.zip
  • Fichiers : hwinfo_monitor_setup.exe
  • Fichiers : HWMonitorPro_1.57_Setup.exe
  • Fichiers : hwmonitor-pro_1.57.zip
  • Fichiers : hwmonitor_1.63.zip
  • Fichiers : PerfMonitor2_Setup.exe
  • Fichiers : perfmonitor-2_2.04.zip

Malware / Outils

  • STX RAT (rat)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ securelist.com — source reconnue (liste interne) (20pts)
  • ✅ 6782 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 48 IOCs dont des hashes (15pts)
  • ✅ 6/9 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • d0568eaa55f495fd… (sha256) → VT (37/77 détections)
  • 02a53d660332c25a… (sha256) → VT (48/77 détections)
  • 9253111b359c610b… (sha256) → VT (36/77 détections)
  • cahayailmukreatif.web.id (domain) → VT (13/94 détections)
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev (domain) → VT (17/94 détections)

🔗 Source originale : https://securelist.com/tr/cpu-z/119365/