Comprometida la web de CPUID: distribución de STX RAT a través de ejecutables legítimos

Introducción

Durante el mes de abril de 2024, la comunidad de ciberseguridad ha sido testigo de un incidente relevante que afecta tanto a usuarios particulares como a profesionales del sector TI: la web oficial de CPUID (cpuid.com), reconocida por alojar herramientas de monitorización hardware como CPU-Z, HWMonitor, HWMonitor Pro y PerfMonitor, fue comprometida por actores desconocidos. Durante un periodo de menos de 24 horas, este recurso ampliamente utilizado distribuyó ejecutables legítimos manipulados que contenían el troyano de acceso remoto (RAT) STX, poniendo en riesgo la seguridad de una base de usuarios potencialmente global.

Contexto del Incidente

El incidente se produjo entre el 9 de abril de 2024, a las 15:00 UTC, y el 10 de abril, a las 10:00 UTC. Durante este intervalo, los atacantes lograron modificar los archivos ejecutables disponibles para descarga en el sitio, de modo que cualquier usuario que descargara las herramientas durante ese periodo habría recibido una versión trojanizada. CPUID es una fuente de referencia internacional para software de monitorización de hardware, con decenas de millones de descargas históricas, lo que amplifica el alcance del ataque y la potencial superficie de afectación.

Detalles Técnicos

El vector de ataque principal identificado fue la sustitución de ejecutables legítimos por versiones maliciosas, una táctica habitual en la cadena de suministro de software. El malware inyectado, STX RAT, es una herramienta de acceso remoto avanzada con capacidades para el control total del sistema, exfiltración de credenciales, registro de pulsaciones (keylogging) y despliegue de cargas adicionales, entre otras funciones.

Aunque aún no se ha asignado un CVE específico al compromiso de la web de CPUID, el incidente se enmarca en los TTP siguientes del marco MITRE ATT&CK:

– Initial Access: T1195 (Supply Chain Compromise)
– Execution: T1204 (User Execution)
– Command and Control: T1071 (Application Layer Protocol)
– Persistence: T1547 (Boot or Logon Autostart Execution)

Los Indicadores de Compromiso (IoC) identificados incluyen hashes de los ejecutables trojanizados, direcciones IP y dominios de C2 asociados con STX RAT, así como la presencia de procesos o conexiones inusuales en sistemas afectados. El análisis forense preliminar apunta a que los ejecutables maliciosos no eran detectados en ese momento por la mayoría de los motores antivirus, lo que sugiere empaquetado o cifrado avanzado.

Impacto y Riesgos

El principal riesgo reside en la instalación inadvertida de un RAT en entornos profesionales o personales, con acceso total a los sistemas comprometidos. Esto puede derivar en robo de información confidencial, credenciales corporativas, espionaje industrial, sabotaje y la posibilidad de pivotar lateralmente en redes corporativas.

El número exacto de descargas afectadas es incierto, pero considerando el tráfico habitual de cpuid.com, se estima que entre 20.000 y 60.000 usuarios pudieron haber descargado ejecutables comprometidos durante la ventana temporal del ataque. El impacto económico potencial es significativo, especialmente para empresas sujetas a normativas como GDPR o NIS2, ya que la exfiltración de datos personales o sensibles puede derivar en sanciones regulatorias.

Medidas de Mitigación y Recomendaciones

Para los equipos de seguridad y administradores de sistemas, se recomienda:

– Verificar la integridad de los ejecutables descargados entre el 9 y 10 de abril mediante hashes publicados por CPUID.
– Realizar escaneos completos de endpoints en busca de IoC asociados a STX RAT.
– Monitorizar conexiones salientes a dominios y direcciones IP sospechosas.
– Implementar políticas de restricción de ejecución de software no firmado o no verificado.
– Actualizar reglas de detección en EDR/XDR y SIEM para la detección temprana de actividades relacionadas con RATs.
– Revisar los logs de proxy/firewall y alertar sobre descargas anómalas de cpuid.com durante el periodo comprometido.

Opinión de Expertos

Diversos analistas del sector, como los equipos de respuesta de CERT y líderes de investigación de amenazas de firmas como Kaspersky y Sophos, coinciden en que este incidente evidencia la vulnerabilidad inherente a la cadena de suministro digital. La rapidez con la que los atacantes lograron comprometer y manipular los binarios sin levantar sospechas resalta la necesidad de mecanismos de firma digital robustos y la verificación sistemática por parte de los usuarios finales.

Implicaciones para Empresas y Usuarios

Este tipo de ataques refuerza la importancia de una defensa en profundidad y de la educación continua de usuarios y técnicos. Las empresas deben exigir a sus proveedores de software prácticas de seguridad como la firma digital, la transparencia en los procesos de build y la divulgación responsable ante incidentes. Asimismo, los equipos SOC y los pentesters han de priorizar la monitorización de la cadena de suministro como vector de riesgo crítico.

Conclusiones

El compromiso de cpuid.com y la distribución de STX RAT a través de herramientas ampliamente utilizadas es un recordatorio contundente sobre la sofisticación y el alcance de los ataques actuales a la cadena de suministro. La respuesta proactiva y la vigilancia constante serán claves para mitigar riesgos similares en el futuro, especialmente en el contexto de regulaciones más estrictas y entornos TI cada vez más interconectados.

(Fuente: feeds.feedburner.com)