Si vous téléchargez habituellement des outils comme CPU-Z ou HWMonitor pour surveiller les performances de votre ordinateur, vous pouvez être inquiet de savoir que le site officiel du CPUID ( cpuid.com) a été manipulé par des attaquants pendant moins de 24 heures pour servir des installateurs malveillants. L'intrusion, selon l'entreprise elle-même, a profité d'une fonctionnalité secondaire du site et a causé le remplacement de liens légitimes par des rédactrices vers de faux sites hébergeant des fichiers commis.
L'incident a eu lieu entre le 9 et le 10 avril et, bien que les installateurs originaux signés soient restés intacts, certains points de téléchargement ont montré des liens vers des pages contrôlées par les agresseurs. Des chercheurs en cybersécurité comme Kaspersky et des équipes d'intervention ont suivi les adresses impliquées et la chaîne d'infection, et ont confirmé que les attaquants distribuaient des exécutables accompagnés d'une DLL malveillante CRYPTBASE.dll pour exploiter une technique connue sous le nom de DLL side-loading.
En termes simples, le mécanisme a fonctionné comme ceci: à côté de l'exécutable légitime du logiciel compromis, une DLL malveillante avec un nom que le programme serait inaperçu. Cette DLL communiquait avec des serveurs externes, effectuant des vérifications pour éviter les bacs à sable et, si elle trouvait des conditions favorables, déployant des frais supplémentaires. Le but ultime de la campagne était d'installer un cheval de Troie distant appelé RAT STX, une famille de logiciels malveillants avec des capacités de vol d'information, de télécommande et d'exécution de charge utile en mémoire.
STX RAT n'est pas un jouet : il comprend des fonctions pour créer un bureau virtuel à distance (HVNC), exécuter des binaires ou du code en mémoire, établir des tunnels ou des procurations inversés et effectuer des interactions directes avec l'écran utilisateur. Cette flexibilité en fait un outil puissant pour extraire les références, se déplacer latéralement dans les réseaux et contrôler les équipements compromis. Les analystes de sécurité comme eSentire ont documenté les capacités et les commandes que cette famille malveillante offre aux attaquants.
Le point frappant de cette campagne, selon les rapports, est que les opérateurs ont réutilisé l'infrastructure et les configurations d'une opération antérieure dans laquelle les installateurs échoués FileZilla ont été distribués pour déployer la même RAT. Cette erreur opérationnelle a facilité l'identification et l'attribution de la nouvelle intrusion par les équipes de détection. Les signatures et domaines utilisés précédemment ont réapparu en communication avec les serveurs de commande et de contrôle, ce qui a permis d'établir des liens entre les incidents.
Les sociétés de cybersécurité qui ont analysé l'affaire ont identifié plus de 150 victimes, principalement des utilisateurs privés, bien qu'il y ait aussi des organisations touchées dans des secteurs tels que le commerce de détail, l'industrie manufacturière, le conseil, les télécommunications et l'agriculture. Géographiquement, la plupart des infections étaient concentrées au Brésil, en Russie et en Chine. Le fait que l'assaut ait été dirigé vers les installateurs d'outils matériels - logiciels d'usage commun entre techniciens et passionnés - souligne le risque de chaînes d'approvisionnement centralisées et de ressources de téléchargement.
Que peuvent faire les utilisateurs et les administrateurs de ces menaces? Tout d'abord, vérifiez la source des installateurs : téléchargez toujours des sites officiels et, si possible, vérifiez les empreintes digitales ou les signatures logicielles. Bien que dans ce cas les signatures originales n'aient pas été modifiées, la présence de fichiers supplémentaires à côté de l'exécutable légitime est un signal d'alarme. Des solutions de sécurité avec télémétrie réseau et des capacités de détection de comportement aident également à identifier les communications suspectes pour commander et contrôler les domaines.
Les pratiques de défense organisationnelle devraient comprendre le contrôle de l'intégrité binaire, les politiques d'exécution restreinte, la segmentation du réseau et la surveillance des connexions sortantes pour détecter les tentatives de communication avec des serveurs malveillants. Pour ceux qui gèrent des portails de téléchargement, la leçon est claire : les fonctions d'API « secondaires » ou auxiliaires nécessitent le même contrôle de sécurité que le cœur du service, car une défaillance peut servir de vecteur pour les attaques de trous d'eau qui affectent des milliers d'utilisateurs.
Si vous voulez lire les analyses techniques et les communiqués officiels, vous trouverez des informations sur les pages des principaux acteurs qui ont enquêté sur l'affaire : le site CPUID lui-même ( signalés en X et votre site), les rapports Kaspersky ( Kaspersky.com), le suivi de Malhareoctets ( malwarebytes.com) et des analyses de réponse par des entreprises spécialisées telles que eSentire et techniques qui ont couvert l'histoire ( Calculateur). La consultation de ces sources vous donnera une vision plus approfondie et plus technique si vous en avez besoin.
Bref, ce cas rappelle que même des portails bien connus peuvent devenir vecteurs d'infection si toutes ses couches ne sont pas protégées. La bonne nouvelle est que la réutilisation de l'infrastructure par les attaquants a facilité leur détection; le mauvais, cette technique de roulement latéral et l'utilisation de RAT comme STX restent des menaces réelles et efficaces. Maintenir un logiciel à jour, valider les téléchargements et combiner les défenses du périmètre avec les contrôles d'intégrité reste la meilleure stratégie pour réduire les risques.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...