Data Breach

La catena di fornitura software colpita: come CPUID è stata compromessa per distribuire il RAT stealer STX

Dario Fadda 13 Aprile 2026

Nel mese di aprile 2026, i ricercatori di sicurezza hanno identificato un attacco di supply chain sofisticato ai danni di CPUID, l’azienda dietro i popolarissimi tool di monitoraggio hardware CPU-Z e HWMonitor. Gli attaccanti hanno compromesso i server dell’azienda e reindirizzato i download ufficiali verso versioni malware. Per il corso di sei ore, gli utenti che scaricavano CPU-Z e HWMonitor dai siti ufficiali ricevevano un Remote Access Trojan precedentemente non documentato denominato STX RAT.

Questo incidente exemplifica una tendenza crescente nel panorama delle minacce informatiche: gli attaccanti hanno capito che il modo più efficace per ottenere una penetrazione di massa non è attaccare i singoli utenti, ma compromettere i software publisher e i loro canali di distribuzione. Se il software che stai scaricando oggi da un sito ufficiale contiene malware, la fiducia nella sicurezza della catena di distribuzione software crolla completamente.

Anatomia dell’attacco: come gli attaccanti hanno compromesso CPUID

A differenza di molti attacchi di supply chain che richiedono il compromesso dei sistemi di build e signing di un’azienda, gli attaccanti dietro questo incidente hanno adottato un approccio più mirato. Invece di cercare di infettare i binari finali di CPU-Z o HWMonitor (che sono firmati digitalmente), gli attaccanti hanno compromesso un’API secondaria utilizzata da CPUID per servire i link di download sul proprio sito web.

Modificando questa API, gli attaccanti hanno reindirizzato le richieste degli utenti verso file malevoli ospitati su Cloudflare R2. Le vittime pensavano di scaricare il software legittimo direttamente dal sito CPUID, ma ricevevano invece il malware. Non è stata trovata alcuna evidenza che gli attaccanti abbiano compromesso il processo di compilazione, il sistema di signing dei binari, o i server di controllo della versione di CPUID.

Il malware: STX RAT e le sue capacità

STX RAT è stato nominato da eSentire per la sua caratteristica firma tecnica: l’utilizzo consistente del byte STX come magic byte per prefisso nei messaggi diretti al command-and-control (C2).

Capacità di infostealer

Browser e credenziali web:

  • Estrazione di password, cookie, e dati di autofill da Firefox, SeaMonkey, e browser basati su Chromium (Chrome, Edge, Brave, ecc.)
  • Bypass potenziale di Application-Bound Encryption (ABE) sulle credenziali crittografate di Windows

Portafogli di criptovalute:

  • Furto di chiavi private da Litecoin-Qt, Electrum, e altri wallet desktop
  • Accesso a file di configurazione che contengono seed phrase o wallet backup

Credenziali client FTP:

  • Estrazione di dati di accesso da FileZilla, WinSCP, e altri client FTP

Remote Desktop nascosto (HVNC)

Una capacità particolarmente insidiosa di STX RAT è il supporto per hidden VNC (Virtual Network Computing). Questo permette all’attaccante di:

  • Avviare una sessione desktop virtuale nascosta che non è visibile agli utenti locali
  • Controllare il mouse e la tastiera tramite l’API SendInput di Windows
  • Eseguire applicazioni e navigare nel filesystem senza alcun indicatore visibile all’utente locale
  • Accedere ai dati sensibili mentre l’utente legittimo è offline

I comandi supportati includono “starthvnc”, “keypress”, “mouseinput”, “mousewheel”, e “switchdesktop”, fornendo una suite completa di controllo remoto.

Tattica di delivery: DLL Sideloading

Il vettore di consegna del malware utilizza una tecnica classica pero ancora efficace: DLL sideloading (also known as DLL hijacking). Quando un utente scaricava il file trojanizzato da HWMonitor, conteneva:

  • HWMonitor_x64.exe – Un file con nome legittimo (il binario vero di HWMonitor)
  • CRYPTBASE.dll – Una DLL malevola che l’eseguibile legittimo carica automaticamente

Poiché Windows segue un ordine di ricerca delle DLL specifico, quando HWMonitor_x64.exe cerca di caricare CRYPTBASE.dll, trova prima la versione malevola nella stessa directory. Questo causa l’esecuzione del codice dell’attaccante con gli stessi privilegi dell’applicazione legittima.

Indicatori tecnici e infrastruttura C2

C2 Server: 95.216.51.236
Malware: STX RAT
Compromesso: 9-10 aprile 2026
Download malevoli: CPU-Z, HWMonitor versioni x64 e x86
DLL sideload: CRYPTBASE.dll

Il malware STX RAT è configurato per contattare il C2 all’indirizzo IP 95.216.51.236. Al primo contatto, il malware invia un messaggio di “introduzione” contenente: nome dell’host, nome utente, versione OS, status amministrativo, RAM disponibile, e elenco antivirus installati.

Inoltre, eSentire ha documentato che STX RAT supporta il routing del traffico C2 attraverso Tor per garantire anonimato, rendendo la tracciatura della comunicazione estremamente difficile.

Impatto e distribuzione

Kaspersky ha identificato oltre 150 vittime dirette dell’incidente CPUID. La distribuzione geografica mostra una concentrazione in Brasile, Russia, e Cina, con settori colpiti che includono: retail e e-commerce, manufacturing, consulting, telecomunicazioni, e agricoltura.

Il fatto che utenti in settori critici siano stati infetti suggerisce che STX RAT potrebbe essere utilizzato sia per cyber-spionaggio che per estorsione, poiché il malware combina capacità di reconnaissance (infostealing) con accesso remoto completo (HVNC).

Timeline dell’incidente

  • 9 aprile 2026, ~15:00 UTC: Gli attaccanti modificano l’API di CPUID, reindirizzando i download
  • 10 aprile 2026, ~10:00 UTC: CPUID scopre l’anomalia e ripristina l’API
  • 10 aprile 2026: eSentire pubblica analisi tecnica del malware
  • 13 aprile 2026: Kaspersky fornisce dati sulla distribuzione geografica

Raccomandazioni per le organizzazioni

  • Verifica dell’integrità: Implementare processi di verifica dell’hash per tutti i software scaricati, anche da fonti ufficiali.
  • Sandboxing: Eseguire software appena scaricati in ambienti virtuali isolati prima dell’installazione.
  • Monitoraggio DLL loading: Implementare EDR in grado di rilevare il caricamento inusuale di DLL.
  • Blocco C2: Aggiungere 95.216.51.236 alle blocklists firewall immediate.
  • Credential rotation: Ruotare credenziali per chi ha scaricato HWMonitor/CPU-Z tra 9-10 aprile.
  • Threat intelligence: Adottare YARA rules da eSentire per rilevare STX RAT in memoria.

Conclusione

L’incidente CPUID dimostra che la sicurezza della catena di distribuzione software non è negoziabile. Anche i siti ufficiali di società legittime possono essere compromessi. I defender devono adottare un mindset di “zero trust” verso qualsiasi software e implementare verifiche multi-strato di integrità e autenticità prima dell’esecuzione.

💬 [[ unisciti alla discussione! ]]


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su La catena di fornitura software colpita: come CPUID è stata compromessa per distribuire il RAT stealer STX, utilizza la discussione sul Forum.
Condividi esempi, IOCs o tecniche di detection efficaci nel nostro 👉 forum community

[[ mastodon ]]

Su Mastodon mi trovi qui: Mastodon

:: i social ::

== forum community ==

💬 Partecipa alla community con i nostri Forum, unico spazio per tutto il Network!

~~ il network ~~

[[ NINAsec - la newsletter ]]