Le site officiel de CPU-Z et HWMonitor, des outils gratuits utilisés par des dizaines de millions d'utilisateurs de PC à travers le monde pour surveiller les performances de leur matériel, a été piraté le 9 avril. Les téléchargements de logiciels légitimes ont été silencieusement remplacés par des programmes d'installation contenant des logiciels malveillants pendant environ 19 heures. L'équipe GReAT de Kaspersky a analysé l'attaque, identifié plus de 150 victimes confirmées dans plusieurs pays et établi un lien entre l'infrastructure du logiciel malveillant et une campagne antérieure.
CPU-Z et HWMonitor comptent parmi les outils de diagnostic PC les plus téléchargés, régulièrement utilisés par les passionnés de matériel, les administrateurs informatiques et les assembleurs de systèmes pour vérifier la vitesse des processeurs, leur température et leur consommation d'énergie. Leur popularité rend la fenêtre de compromission significative : toute personne ayant téléchargé le logiciel depuis cpuid.com entre environ 15h UTC le 9 avril et 10h UTC le 10 avril a pu installer une porte dérobée à la place.
CPUID a confirmé la compromission et a suspendu les téléchargements après la découverte de l'attaque. L'analyse menée par la suite par l’équipe Global Research & Analysis Team (GReAT) de Kaspersky a révélé que la fenêtre d'exposition avait duré environ 19 heures, soit environ trois fois plus longtemps que les six heures initialement indiquées par CPUID.
Quatre produits ont été touchés : CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 et PerfMonitor 2.04, distribués à la fois sous forme d'installateurs autonomes et d'archives ZIP. Les rapports publics précédents n'avaient identifié que CPU-Z et HWMonitor comme étant affectés.
Pendant la compromission, les liens de téléchargement sur cpuid.com ont été remplacés par des URL redirigeant vers quatre sites web contrôlés par les attaquants. Les paquets infectés par un cheval de Troie regroupaient chacun un exécutable CPUID légitime et signé avec une DLL malveillante qui, une fois exécutée, se connectait à un serveur distant pour installer finalement STX RAT, un backdoor complet capable de voler des données et de fournir un accès distant persistant. Le GReAT a confirmé que les attaquants avaient déployé la porte dérobée sans la modifier, ce qui signifie que les règles YARA publiques existantes la détectent directement.
Des chercheurs de la communauté avaient relevé des similitudes entre l'infrastructure d'attaque et une campagne de mars 2026 impliquant de faux programmes d'installation de FileZilla. L'analyse du GReAT confirme ce lien : l'adresse du serveur de commande et de contrôle ainsi que le format de configuration intégré sont identiques à ceux utilisés lors de l'opération précédente documentée par Malwarebytes.
« Les attaques par la chaîne d'approvisionnement et les attaques de type « watering hole », où les attaquants compromettent une source de confiance plutôt que de cibler directement les victimes, sont considérées comme parmi les menaces les plus difficiles à contrer, car les utilisateurs n'ont aucune raison de se méfier des logiciels téléchargés depuis un site web officiel. Dans ce cas précis, cependant, l’exécution de l’attaquant a affaibli l’impact de son accès : la réutilisation d’une infrastructure déjà documentée et d’une porte dérobée non modifiée et connue du public a permis à des solutions de sécurité à jour comme Kaspersky Next de détecter et de bloquer la charge utile tout au long de la fenêtre de compromission », déclare Georgy Kucherin, chercheur senior en sécurité chez Kaspersky GReAT.
Le GReAT a identifié plus de 150 victimes grâce à ses données télémétriques. La majorité d'entre elles sont des particuliers, ce qui correspond à la nature grand public des logiciels de CPUID. Les organisations touchées proviennent des secteurs de la vente au détail, de l'industrie manufacturière, du conseil, des télécommunications et de l'agriculture. Le Brésil, la Russie et la Chine enregistrent le plus grand nombre d'infections confirmées.
Une étude de Kaspersky datant de mars 2026 a révélé que les attaques visant la chaîne d'approvisionnement constituaient la cybermenace la plus courante à laquelle les entreprises avaient été confrontées au cours des 12 mois précédents, mais que seulement 9 % des organisations les considéraient comme une préoccupation majeure.
Kaspersky conseille à toute personne ayant téléchargé un logiciel depuis cpuid.com entre le 9 et le 10 avril 2026 de prendre les mesures suivantes :
- Vérifier les journaux réseau et DNS pour détecter les connexions aux quatre domaines de distribution malveillants identifiés dans le rapport technique.
- Rechercher dans les systèmes de fichiers les instances non signées de CRYPTBASE.dll présentes aux côtés des fichiers d'application CPUID.
- Lancer une analyse complète du système à l'aide d'un logiciel de sécurité à jour.
Une liste complète des indicateurs de compromission, incluant les hachages de fichiers et les URL malveillantes, est disponible dans l'analyse technique complète du GReAT de Kaspersky sur Securelist.
À propos de l'équipe Global Research & Analysis
Créée en 2008, la Global Research & Analysis Team (GReAT) opère au cœur même de Kaspersky, où elle met au jour les attaques APT, les campagnes de cyberespionnage, les principaux logiciels malveillants, les ransomwares et les tendances de la cybercriminalité clandestine à travers le monde. Aujourd'hui, GReAT compte plus de 35 experts travaillant à l'échelle mondiale, en Europe, en Russie, en Amérique latine, en Asie et au Moyen-Orient. Ces professionnels de la sécurité talentueux assurent le leadership de l'entreprise en matière de recherche et d'innovation dans le domaine de la lutte contre les logiciels malveillants, apportant une expertise, une passion et une curiosité inégalées à la découverte et à l'analyse des cybermenaces.
