CPUID 软件下载被入侵，分发了 STX RAT 恶意软件

CPUID软件下载被入侵，传播STX远程访问木马

执行摘要

一个威胁行为者在2026年4月9日至4月10日之间大约六小时的时间里入侵了提供系统信息工具（如CPU-Z）的CPUID的下载基础设施。在此期间，访问合法CPUID网站的访客被随机提供了恶意链接，这些链接传播的是STX远程访问木马（Remote Access Trojan）而不是预期的软件。公司声明其主要的、签名的软件文件没有被篡改，表明这是一个针对用于提供下载链接的次要功能或API的目标性入侵。

技术分析

根据CPUID的声明，入侵影响了一个“次要功能（基本上是一个辅助API）”，该功能是下载过程的重要组成部分。这表明威胁行为者没有实现对整个网站的接管或侵犯核心文件库。相反，他们操纵了为用户生成下载链接的机制。在有限的时间内，这个API返回了恶意URL，将受害者重定向到攻击者控制的基础设施上。目前尚不清楚用于入侵此API的确切初始访问向量，因为调查仍在进行中。最终交付的有效载荷被识别为STX RAT，这是一个基于.NET的远程访问木马，能够进行键盘记录、屏幕捕获、文件外泄和在受感染的主机上执行任意命令。

入侵指标

目前尚未识别出任何入侵指标。CPUID尚未公开发布与恶意重定向或有效载荷相关的具体哈希值、域名或IP地址。建议组织和个人仔细审查在2026年4月9日至4月10日之间下载的任何CPUID软件（例如，CPU-Z、HWMonitor），并验证文件签名。

战术、技术与程序

该事件展示了一个供应链入侵战术，攻击者针对一个受信任的软件供应商，以向广泛的用户基础分发恶意软件。主要技术似乎是入侵软件开发或分发渠道（T1195.002），特别是通过劫持下载API。这允许了驱动-by入侵（T1189）行为，任何尝试正常下载的用户都可能成为潜在的受害者，而不需要进一步的交互。使用像STX这样的全功能RAT表明目标是持续的远程访问和间谍活动，这与远程服务（T1021）和数据收集（TA0009）下的技术和程序一致。

威胁行为者背景

目前尚未将特定的威胁行为者群体归因于此次攻击。所展示的操作安全——一个狭窄的六小时入侵窗口，针对特定的API——表明了一种旨在在最小化检测的同时最大化影响的计算方法。选择一个通用的RAT并不指向特定的间谍活动或勒索软件群体，尽管这种战术与寻求在受害者网络中获得初步立足点的网络犯罪分子和与国家对齐的行为者一致。

缓解措施与建议

在受影响期间下载CPUID软件的用户应立即使用更新的防病毒软件扫描他们的系统，并考虑系统可能已被入侵。主要的缓解措施是验证任何安装的CPUID可执行文件的数字签名。供应商的合法文件都是签名的；未签名的文件或具有无效签名的文件应该被移除。组织应该将任何在事件窗口期间下载软件的系统视为可疑，并监控异常的网络连接或进程。CPUID已经声明问题已经解决，但用户在确认其完整性后，应该只从官方CPUID网站重新下载软件。