Imaginez : vous téléchargez un logiciel depuis son site officiel, un outil que vous utilisez depuis des années pour surveiller votre matériel informatique. Vous l’installez en toute confiance… et sans le savoir, vous venez d’ouvrir la porte à un pirate qui va aspirer tous vos mots de passe. C’est exactement ce qui s’est passé le 9 avril 2026 avec CPUID, l’éditeur des célèbres outils CPU-Z et HWMonitor, utilisés par plus de 100 millions de personnes dans le monde.

Que s’est-il passé exactement ?

Le 9 avril 2026, entre 15h00 et environ 10h00 UTC le lendemain, des attaquants inconnus ont compromis une API secondaire du site cpuid.com. Pendant ces six heures fatidiques, les liens de téléchargement officiels de quatre logiciels populaires — CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 et PerfMonitor 2.04 — ont été remplacés par des versions piégées hébergées sur des serveurs Cloudflare R2 contrôlés par les attaquants.

Le piège était particulièrement vicieux : au lieu de recevoir l’installateur légitime, les utilisateurs téléchargeaient un fichier nommé HWiNFO_Monitor_Setup, emballé dans un installateur russe Inno Setup. Ce faux installateur contenait un exécutable signé légitime accompagné d’une DLL malveillante baptisée CRYPTBASE.dll, exploitant une technique bien connue : le DLL sideloading.

« Il semble qu’une fonctionnalité secondaire (une API annexe) a été compromise pendant environ six heures entre le 9 et le 10 avril, provoquant l’affichage aléatoire de liens malveillants sur le site principal. Nos fichiers originaux signés n’ont pas été compromis. » — Samuel Demeulemeester, développeur CPUID

STX RAT : un voleur de données redoutablement persistant

Le malware déployé, identifié comme STX RAT, n’est pas un virus ordinaire. Selon l’analyse de Kaspersky et d’eSentire, ce cheval de Troie à accès distant (RAT) possède des capacités de vol de données sophistiquées : il cible les identifiants stockés dans les navigateurs, les cookies de session (capables de contourner l’authentification multifacteur), les clés de portefeuilles crypto, les données des gestionnaires de mots de passe, ainsi que les identifiants VPN et FTP.

Mais le plus inquiétant reste son système de quad-persistance : le malware s’ancre dans le système via quatre mécanismes différents. Cela signifie que supprimer simplement la DLL malveillante ne suffit pas — chaque chemin de persistance doit être identifié et éliminé, sous peine de voir le malware revenir. En outre, le RAT communique avec un serveur de commande et contrôle (C2) en transmettant les métadonnées de la victime au format JSON, permettant aux pirates de profiler et prioriser leurs cibles.

Selon Kaspersky, plus de 150 victimes ont été identifiées lors de cette fenêtre d’exposition de six heures, réparties entre le Brésil, la Russie et la Chine. Parmi elles, plusieurs organisations des secteurs du commerce de détail, de l’industrie, du conseil, des télécommunications et de l’agriculture.

Pourquoi cette attaque est un signal d’alarme pour les PME

Cette attaque illustre parfaitement la menace grandissante des attaques supply chain — des attaques qui visent non pas directement votre entreprise, mais les outils et fournisseurs en lesquels vous avez confiance. Et c’est justement ce qui rend ce type d’attaque si dangereux.

CPU-Z et HWMonitor sont des outils utilisés massivement par les techniciens IT, administrateurs système et ingénieurs hardware. Ce sont précisément les personnes qui ont souvent des accès privilégiés au réseau, qui désactivent parfois les contrôles de sécurité pour exécuter des outils de diagnostic, et dont les postes contiennent des identifiants critiques. Comme le soulignent les analystes de Cyderes : cibler ce public via une source officielle de confiance est redoutablement efficace, car cela contourne la vigilance instinctive.

Pour une PME, les conséquences peuvent être catastrophiques : un seul technicien infecté peut offrir aux pirates un accès au réseau entier de l’entreprise, aux données clients, aux comptes bancaires et aux systèmes cloud.

Fait notable : les taux de détection au moment de l’infection étaient si faibles que la plupart des systèmes compromis n’ont reçu aucune alerte. C’est la réutilisation par les attaquants d’une infrastructure de commande déjà signalée lors d’une campagne de faux FileZilla en mars 2026 qui a permis à Kaspersky de détecter rapidement la compromission.

Comment se protéger : les bons réflexes

Si vous ou votre équipe IT avez téléchargé CPU-Z, HWMonitor ou PerfMonitor depuis le site officiel le 9 ou 10 avril 2026, voici les mesures recommandées par les experts :

  • Scannez immédiatement les machines concernées avec un outil EDR à jour et recherchez les indicateurs de compromission (IoC) publiés par Kaspersky et eSentire.
  • Envisagez une réimagerie complète du poste — c’est la méthode la plus sûre face à un malware à quad-persistance.
  • Réinitialisez tous les mots de passe et révoquez les sessions actives sur les comptes accessibles depuis la machine compromise, en priorité les comptes administrateurs.
  • Vérifiez systématiquement les hachages SHA-256 des fichiers téléchargés avant toute installation, même depuis des sources officielles.
  • Mettez en place une politique de validation des téléchargements dans votre organisation : interdisez le téléchargement d’outils utilitaires sans vérification préalable.

À retenir

  • Le site officiel de CPUID a été compromis pendant 6 heures le 9-10 avril 2026, transformant les téléchargements de CPU-Z et HWMonitor en vecteurs d’infection.
  • Le malware STX RAT vole les identifiants des navigateurs, les cookies de session, les clés crypto et les accès VPN/FTP — et résiste aux nettoyages basiques grâce à sa quad-persistance.
  • Plus de 150 victimes confirmées par Kaspersky, dont des entreprises de plusieurs secteurs stratégiques.
  • Les attaques supply chain sont en explosion : même un téléchargement depuis un site officiel de confiance peut vous infecter.
  • Vérifiez toujours les hachages de fichiers, même pour les logiciels que vous utilisez depuis des années. La confiance aveugle est le premier exploit des hackers.

Photo : Miguel Á. Padriñán via Pexels