أفاد باحثو الأمن السيبراني أن موقع CPUID (cpuid[.]com)، المعروف باستضافة أدوات مراقبة العتاد مثل CPU-Z وHWMonitor وPerfMonitor، تعرض لاختراق استمر أقل من 24 ساعة بين 9 و10 أبريل 2026. خلال هذه الفترة، تم استبدال روابط التنزيل الخاصة بالبرامج بروابط تؤدي إلى مواقع خبيثة، ما سمح بتوزيع نسخ مزيفة من البرامج تحتوي على حصان طروادة للتحكم عن بُعد يُعرف باسم STX RAT.
شركة CPUID أكدت الاختراق عبر منشور على منصة X، مشيرة إلى أن السبب يعود إلى ثغرة في “ميزة ثانوية (API جانبية)” أدت إلى عرض روابط خبيثة عشوائيًا، مع التأكيد أن الملفات الأصلية الموقعة لم تتأثر.
آلية التوزيع وتقنية التحميل الجانبي
بحسب شركة Kaspersky، تم توزيع البرمجيات المزيفة كأرشيفات ZIP أو مثبتات مستقلة، تحتوي على الملف التنفيذي الشرعي موقّعًا إلى جانب مكتبة خبيثة باسم CRYPTBASE.dll. هذه المكتبة تستغل تقنية DLL Side-Loading لتشغيل التعليمات البرمجية الخبيثة.
المكتبة تتصل بخادم خارجي وتنفذ حمولة إضافية بعد إجراء فحوصات مضادة لبيئات الاختبار (Anti-Sandbox)، بهدف نشر STX RAT الذي يتميز بقدرات واسعة تشمل التحكم عن بُعد، تنفيذ حمولة إضافية، التفاعل مع سطح المكتب، وإنشاء قنوات اتصال خفية.
خلفية الحملة وارتباطها بهجمات سابقة
تحليل شركة eSentire أشار إلى أن خادم القيادة والسيطرة (C2) المستخدم في الهجوم هو نفسه الذي استُخدم سابقًا في حملة تضمنت نسخ مزيفة من FileZilla لتوزيع نفس البرمجية الخبيثة. كما أوضحت شركة Breakglass Intelligence أن الهجوم جزء من حملة ممتدة بدأت في يوليو 2025، حيث تم رصد أول عينة باسم “superbad.exe” تتواصل مع نفس عنوان الـ C2.
التقديرات تشير إلى أن المهاجمين يتحدثون الروسية، وقد يكونون مدفوعين بدوافع مالية أو يعملون كوسطاء للوصول الأولي إلى الأنظمة.
حجم التأثير والضحايا
كشفت Kaspersky عن أكثر من 150 ضحية، معظمهم أفراد، إلى جانب مؤسسات في قطاعات التجزئة والتصنيع والاستشارات والاتصالات والزراعة. معظم الإصابات سُجلت في البرازيل وروسيا والصين.
ورغم أن المهاجمين أعادوا استخدام نفس سلسلة العدوى وأسماء النطاقات، وهو ما اعتُبر خطأً فادحًا، إلا أن ذلك ساعد الباحثين على اكتشاف الهجوم بسرعة ووقفه.
توصيات أمنية
ينصح الخبراء المستخدمين الذين قاموا بتنزيل نسخ من CPU-Z أو HWMonitor خلال فترة الاختراق بافتراض أن أجهزتهم تعرضت للاختراق، والقيام بخطوات عاجلة تشمل:
- إزالة النسخ المشبوهة وإعادة تثبيت الإصدارات الرسمية الموقعة.
- فحص الأجهزة باستخدام أدوات مكافحة البرمجيات الخبيثة.
- تغيير كلمات المرور والبيانات الحساسة المرتبطة بالأجهزة المصابة.
- مراقبة أي نشاط غير معتاد في الشبكات والأنظمة.
