Si sueles descargar herramientas como CPU‑Z o HWMonitor para vigilar el rendimiento de tu equipo, es posible que te preocupe saber que el sitio oficial de CPUID (cpuid.com) fue manipulado por atacantes durante menos de 24 horas para servir instaladores maliciosos. La intrusión, según la propia compañía, se aprovechó de una funcionalidad secundaria del sitio y provocó que enlaces legítimos se reemplazaran por redirecciones hacia sitios falsos que alojaban archivos comprometidos.
El incidente tuvo lugar entre el 9 y el 10 de abril y, aunque los instaladores originales firmados permanecieron intactos, algunos puntos de descarga mostraron enlaces a páginas controladas por los atacantes. Investigadores de ciberseguridad como Kaspersky y equipos de respuesta han rastreado las direcciones involucradas y la cadena de infección, y han confirmado que los atacantes estaban distribuyendo ejecutables acompañados por una DLL maliciosa bautizada como CRYPTBASE.dll para explotar una técnica conocida como DLL side‑loading.
En términos sencillos, el mecanismo operaba así: junto al ejecutable legítimo del software comprometido se colocaba una DLL maliciosa con un nombre que el programa cargaría de forma inadvertida. Esa DLL se comunicaba con servidores externos, hacía comprobaciones para evitar sandboxes y, si encontraba condiciones favorables, desplegaba cargas adicionales. El objetivo final de la campaña era instalar un troyano de acceso remoto llamado STX RAT, una familia de malware con capacidades de robo de información, control remoto y ejecución de cargas útiles en memoria.
STX RAT no es un juguete: incluye funciones para crear un escritorio remoto virtual (HVNC), ejecutar binarios o código en memoria, establecer túneles inversos o proxies y realizar interacciones directas con la pantalla del usuario. Esa flexibilidad lo convierte en una herramienta potente para extraer credenciales, mover lateralmente dentro de redes y controlar equipos comprometidos. Analistas de seguridad como los de eSentire han documentado las capacidades y comandos que esta familia maliciosa ofrece a los atacantes.
Lo llamativo de esta campaña, según informes, es que los operadores reutilizaron infraestructura y configuraciones de una operación previa en la que se distribuyeron instaladores troceados de FileZilla para desplegar el mismo RAT. Ese error operacional facilitó a los equipos de detección identificar y atribuir más rápidamente la nueva intrusión. Firmas y dominios utilizados anteriormente reaparecieron en la comunicación con los servidores de comando y control, lo que permitió trazar vínculos entre los incidentes.
Las compañías de ciberseguridad que han analizado el caso han detectado más de 150 víctimas, en su mayoría usuarios particulares, aunque también hay organizaciones afectadas en sectores como comercio minorista, manufactura, consultoría, telecomunicaciones y agricultura. Geográficamente, la mayoría de las infecciones se concentraron en Brasil, Rusia y China. El hecho de que la agresión se haya dirigido a instaladores de herramientas de hardware —software de uso común entre técnicos y entusiastas— subraya el riesgo de las cadenas de suministro y los recursos de descarga centralizados.
¿Qué pueden hacer los usuarios y administradores ante amenazas de este tipo? Primero, verificar la procedencia de los instaladores: descargar siempre desde sitios oficiales y, cuando sea posible, comprobar huellas digitales o firmas del software. Aunque en este caso las firmas originales no se alteraron, la presencia de archivos adicionales junto al ejecutable legítimo es una señal de alarma. Las soluciones de seguridad con telemetría de red y capacidades de detección de comportamiento también ayudan a identificar comunicaciones sospechosas hacia dominios de comando y control.
Las prácticas de defensa organizacional deberían incluir control de integridad de binarios, políticas de ejecución restringida, segmentación de red y monitoreo de conexiones salientes para detectar intentos de comunicación con servidores maliciosos. Para quienes gestionan portales de descarga, la lección es nítida: las funciones "secundarias" o APIs auxiliares requieren el mismo escrutinio de seguridad que el núcleo del servicio, porque un fallo en ellas puede servir de vector para ataques de watering‑hole que afectan a miles de usuarios.
Si quieres leer los análisis técnicos y los comunicados oficiales, encontrarás información en las páginas de los principales actores que investigaron el caso: el propio sitio de CPUID (comunicados en X y su web), los informes de Kaspersky (kaspersky.com), el seguimiento de Malwarebytes (malwarebytes.com) y los análisis de respuesta por parte de empresas especializadas como eSentire y medios tecnológicos que cubrieron la historia (BleepingComputer). Consultar estas fuentes te dará una visión más profunda y técnica si lo necesitas.
En definitiva, este caso recuerda que incluso portales muy conocidos pueden convertirse en vectores de infección si no se protegen todas sus capas. La buena noticia es que la reutilización de infraestructura por parte de los atacantes facilitó su detección; la mala, que la técnica de side‑loading y el uso de RATs como STX siguen siendo amenazas reales y eficaces. Mantener software actualizado, validar descargas y combinar defensas perimetrales con controles de integridad sigue siendo la mejor estrategia para reducir el riesgo.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...