Breach CPUID Sebar Malware STX RAT Lewat Download Trojan CPU-Z dan HWMonitor

Baru-baru ini, CPUID, situs penyedia perangkat lunak monitoring hardware populer seperti CPU-Z, HWMonitor, HWMonitor Pro, dan PerfMonitor, mengalami pelanggaran keamanan yang menyebabkan distribusi malware berbahaya selama kurang dari 24 jam. Peristiwa ini terjadi pada tanggal 9-10 April 2026, ketika tautan unduhan CPU-Z dan HWMonitor diubah menjadi tautan menuju situs berbahaya yang menyebarkan remote access trojan (RAT) bernama STX RAT.

Detail Serangan dan Cara Penyebaran Malware

Menurut pengumuman resmi dari CPUID yang disebarkan melalui platform X (sebelumnya Twitter), pelanggaran ini terjadi akibat kompromi pada sebuah fitur sekunder atau API tambahan yang menyebabkan situs utama menampilkan tautan berbahaya secara acak. Namun, file asli yang ditandatangani secara digital tidak terpengaruh langsung oleh serangan ini.

Kaspersky, perusahaan keamanan siber yang menganalisis insiden ini, mengungkapkan bahwa tautan berbahaya mengarah ke beberapa situs palsu, antara lain:

• cahayailmukreatif.web[.]id
• pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
• transitopalermo[.]com
• vatrobran[.]hr

Malware disebarkan dalam bentuk ZIP archive maupun penginstal mandiri. File yang diunduh mengandung executable resmi yang telah ditandatangani dan sebuah DLL berbahaya bernama "CRYPTBASE.dll" yang memanfaatkan teknik DLL side-loading. Teknik ini memungkinkan malware untuk dieksekusi dengan menyisipkan DLL berbahaya ke dalam proses yang sah.

Fungsi dan Tujuan STX RAT

Setelah terinstal, DLL berbahaya akan menghubungi server eksternal dan menjalankan payload tambahan setelah melakukan pemeriksaan anti-sandbox untuk menghindari deteksi otomatis oleh sistem keamanan. Tujuan utama kampanye ini adalah untuk mengaktifkan STX RAT yang memiliki kemampuan luas, termasuk:

• Kontrol jarak jauh perangkat korban
• Eksekusi payload lanjutan secara dinamis (EXE, DLL, PowerShell, shellcode)
• Fungsi tunneling dan proxy balik
• Interaksi desktop pengguna secara real-time
• Pencurian data dengan fitur infostealer

Analisis dari eSentire menyatakan bahwa remote access trojan ini memiliki set perintah yang sangat lengkap untuk pengendalian dan eksploitasi pasca infeksi.

Jejak Serangan dan Dampak Korban

Menariknya, server komando dan kontrol (C2) yang digunakan dalam serangan ini identik dengan yang pernah digunakan dalam kampanye sebelumnya yang menyebarkan malware serupa melalui penginstal FileZilla palsu. Kampanye terdahulu ini telah diungkap oleh Malwarebytes pada bulan sebelumnya.

Kaspersky mengidentifikasi lebih dari 150 korban yang sebagian besar adalah individu, namun beberapa organisasi di sektor ritel, manufaktur, konsultasi, telekomunikasi, dan pertanian juga terdampak. Lokasi geografis korban terbanyak berada di Brasil, Rusia, dan Cina.

"Kesalahan terbesar pelaku adalah menggunakan rantai infeksi yang sama dengan STX RAT serta domain C2 yang telah terdeteksi dari serangan sebelumnya menggunakan penginstal FileZilla palsu," ujar Kaspersky. "Kemampuan pengembangan malware dan operasi keamanan pelaku sangat rendah, sehingga kompromi ini segera terdeteksi begitu serangan dimulai."

Analisis Redaksi

Menurut pandangan redaksi, insiden ini memperlihatkan pentingnya pengawasan dan pengamanan lebih ketat pada situs distribusi perangkat lunak populer. Meski file asli CPUID tidak tersentuh, side API yang disalahgunakan menjadi celah serius yang dimanfaatkan penyerang untuk menyebarkan malware berbahaya. Ini menandakan bahwa keamanan pada fitur-fitur pendukung dalam sebuah situs web harus mendapatkan perhatian yang setara dengan keamanan file utama.

Selain itu, penggunaan kembali infrastruktur serangan yang sama oleh pelaku menunjukkan kurangnya inovasi dan profesionalisme dalam kelompok penjahat siber ini, yang pada sisi lain memudahkan para peneliti keamanan untuk mendeteksi dan mengantisipasi serangan serupa di masa depan. Namun, bagi para pengguna dan organisasi, ini menjadi peringatan keras agar selalu memeriksa sumber unduhan dengan seksama dan menerapkan solusi keamanan yang mampu mendeteksi teknik DLL side-loading dan aktivitas RAT.

Ke depan, penting untuk tetap memantau perkembangan serangan ini, sekaligus memperkuat koordinasi antar lembaga keamanan siber global untuk mengantisipasi modus serangan yang terus berevolusi. Anda dapat mengikuti update terbaru melalui laporan resmi dan media terpercaya.

Untuk informasi lengkap dan update terkini, baca artikel asli di The Hacker News dan berita terkait dari Kompas.