RTX RAT
Un incident de sécurité impliquant CPUID a exposé des utilisateurs à un logiciel malveillant via son site web officiel, cpuid.com. Pendant moins de 24 heures, des cybercriminels ont réussi à manipuler les liens de téléchargement pour diffuser des versions infectées d'outils de surveillance matérielle largement utilisés.
La compromission a eu lieu entre le 9 avril à 15h00 UTC et le 10 avril à 10h00 UTC. Durant cette période, des liens d'installation légitimes ont été remplacés de manière intermittente par des redirections malveillantes. Il est important de noter que CPUID a confirmé que ses fichiers binaires signés d'origine sont restés intacts, la faille provenant d'une fonctionnalité secondaire, essentiellement une API annexe, qui a provoqué l'affichage aléatoire de liens dangereux sur le site web, sans altérer le logiciel principal lui-même.
Table des matières
Infrastructure malveillante : les domaines pirates à l’origine de l’attaque
Les investigations menées par des chercheurs en cybersécurité ont permis d'identifier plusieurs domaines utilisés pour héberger et diffuser les logiciels malveillants. Ces sites web frauduleux ont joué un rôle central en redirigeant des utilisateurs non avertis vers des téléchargements compromis.
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- transitopalermo[.]com
- Vatrobran[.]hr
Ces domaines faisaient partie d'une infrastructure plus vaste conçue pour soutenir la distribution de logiciels malveillants et les opérations de commande et de contrôle.
Mécanisme de distribution furtive : abus du chargement latéral de DLL
Les attaquants ont utilisé une technique d'évasion bien connue appelée chargement latéral de DLL. Les paquets malveillants ont été distribués sous forme d'archives ZIP et d'installateurs autonomes, chacun contenant deux composants : un exécutable légitime et signé et une bibliothèque de liens dynamiques malveillante nommée « CRYPTBASE.dll ».
En exploitant la confiance accordée aux fichiers binaires signés, la DLL malveillante a été chargée lors de l'exécution, permettant une compromission furtive. Avant d'entreprendre d'autres actions, le logiciel malveillant a effectué des contrôles anti-sandbox afin d'éviter d'être détecté dans les environnements d'analyse. Une fois ces contrôles passés, il a contacté un serveur externe pour récupérer des charges utiles supplémentaires.
Déploiement de STX RAT : un outil de post-exploitation polyvalent
L'objectif ultime de la campagne était de déployer le STX RAT, un puissant cheval de Troie d'accès à distance doté de capacités de calcul en réseau virtuel caché (HVNC) et de fonctionnalités étendues de vol de données.
Ce logiciel malveillant permet aux attaquants de maintenir un contrôle persistant sur les systèmes infectés et d'exécuter un large éventail d'activités post-exploitation, notamment :
- Exécution en mémoire de fichiers EXE, de DLL, de scripts PowerShell et de shellcode
- Proxy inverse et tunnelage réseau
- Interaction et surveillance à distance via un bureau à distance
Ces capacités rendent le logiciel STX RAT particulièrement dangereux, aussi bien dans les environnements individuels que professionnels.
Chevauchement de campagnes : Liens avec des attaques FileZilla antérieures
L'analyse a révélé que l'infrastructure de commande et de contrôle (C2) utilisée lors de cet incident avait déjà été associée à une autre campagne impliquant des installateurs FileZilla piégés. La réutilisation des mêmes configurations de serveurs et domaines de communication indique fortement un chevauchement opérationnel entre les deux campagnes.
Cette répétition des tactiques, des techniques et des infrastructures a fourni des indicateurs précieux pour la détection et l'attribution.
Opération à long terme : Chronologie d'une campagne de 10 mois
Des investigations complémentaires suggèrent que la faille de sécurité de CPUID s'inscrit dans une campagne plus vaste qui a débuté en juillet 2025. Le premier échantillon de logiciel malveillant connu, identifié comme « superbad.exe », a été observé en train de communiquer avec un serveur de commande et de contrôle à l'adresse 95.216.51.236.
Les experts en sécurité estiment que l'auteur de la menace est probablement russophone et pourrait être motivé par des motivations financières ou agir en tant que courtier d'accès initial, une entité spécialisée dans l'obtention de points d'entrée dans les systèmes et la vente de cet accès à d'autres cybercriminels.
Évaluation d'impact : Portée mondiale auprès de victimes diverses
L'attaque a touché plus de 150 victimes confirmées, principalement des particuliers. Cependant, des organisations de divers secteurs ont également subi des atteintes à leurs systèmes, notamment dans les domaines du commerce de détail, de l'industrie manufacturière, du conseil, des télécommunications et de l'agriculture.
Sur le plan géographique, la majorité des infections ont été identifiées au Brésil, en Russie et en Chine, ce qui indique une stratégie de ciblage large et opportuniste.
Faiblesses opérationnelles : erreurs ayant conduit à la détection
Malgré l'ampleur de la campagne, plusieurs failles de sécurité opérationnelle ont considérablement nui à l'efficacité des attaquants. La réutilisation de chaînes d'infection, de charges utiles STX RAT et de domaines de commande et de contrôle identiques à ceux de campagnes précédentes a facilité le suivi et la corrélation de l'activité.
Ces lacunes suggèrent un niveau de sophistication relativement faible dans les pratiques de développement et de déploiement de logiciels malveillants. De ce fait, les équipes de défense ont pu détecter rapidement l'attaque par point d'eau après son lancement, limitant ainsi son impact global et sa durée d'exposition.
