Wer zwischen dem 9. und 10. April 2026 Software von der offiziellen CPUID-Website heruntergeladen hat, könnte sich dabei Schadsoftware eingefangen haben. Unbekannte Angreifer verschafften sich Zugang zu einer Schnittstelle (API) des Projekts und tauschten die Download-Links auf der offiziellen Seite aus – sodass Nutzer statt der legitimen Tools infizierte Dateien erhielten. Betroffen waren mehrere beliebte Diagnose-Programme: CPU-Z (Version 2.19), HWMonitor (Version 1.63), HWMonitor Pro (Version 1.57) sowie PerfMonitor (Version 2.04). Die originalen, signierten Binärdateien blieben dabei unberührt – manipuliert wurde ausschließlich die Auslieferungskette.

Windows Defender schlug an

Aufgedeckt wurde das Problem zunächst von einem Reddit-Nutzer, der nach einem Update-Hinweis in seiner alten HWMonitor-Installation auf den offiziellen CPUID-Seiten landete und dort eine Datei namens "HWiNFO_Monitor_Setup.exe" heruntergeladen hatte. Der Name allein hätte stutzig machen können – immerhin handelt es sich bei HWiNFO um ein Produkt eines völlig anderen Entwicklers. Noch deutlicher wurde es, als Windows Defender sofort anschlug und sich beim Ausführen ein russischsprachiger Installer mit Inno-Setup-Oberfläche öffnete. Der Nutzer brach die Installation ab, lud die Datei auf VirusTotal hoch und warnte die Community. Parallel bestätigten die Sicherheitsforscher von Igor's Lab und die Malware-Analysten von vxunderground den Fund.

Laut vxunderground handelt es sich keineswegs um gewöhnliche Schadsoftware: "This malware is deeply trojanized, distributes from a compromised domain (cpuid-dot-com), performs file masquerading, is multi-staged, operates (almost) entirely in-memory, and uses some interesting methods to evade EDRs and/or AVs such as proxying NTDLL functionality from a .NET assembly."

Kaspersky-Forscher analysierten den Vorfall ebenfalls und stellten fest, dass die manipulierten Varianten jeweils eine legitim signierte ausführbare Datei sowie eine Schadroutine in Form einer manipulierten DLL namens "CRYPTBASE.dll" enthielten. Diese DLL nutzte ein als DLL-Sideloading bekanntes Verfahren, führte Anti-Sandbox-Prüfungen durch und stellte nach dem Bestehen dieser Checks eine Verbindung zu einem Command-and-Control-Server (C2) her. Die finale Nutzlast war der STX RAT – ein Fernzugriffstrojaner mit Infostealer-Fähigkeiten, der bereits im März 2026 in Verbindung mit einer gefälschten FileZilla-Seite dokumentiert worden war.

Einstieg über API-Funktion

CPUID selbst bestätigte gegenüber BleepingComputer, dass eine sekundäre API-Funktion der eigenen Infrastruktur kompromittiert wurde – und das für rund sechs Stunden. Kaspersky präzisiert den Zeitraum auf 9. April, 15:00 Uhr UTC, bis 10. April, etwa 10:00 Uhr UTC. Der Angriff traf das Unternehmen zu einem denkbar ungünstigen Moment: Der Hauptentwickler war im Urlaub.

Mehr als 150 Nutzer luden laut Kaspersky eine der verseuchten Varianten herunter – neben Privatpersonen auch Unternehmen aus den Branchen Einzelhandel, Fertigung, Beratung, Telekommunikation und Landwirtschaft, hauptsächlich in Brasilien, Russland und China. Auf VirusTotal erkannten zum Zeitpunkt der Meldung 20 Antivirenprogramme die schadhafte ZIP-Datei – wenn auch ohne einheitliche Klassifizierung; die Einschätzungen reichten von "Tedy Trojan" bis "Artemis Trojan".

CPUID hat die kompromittierten Download-Links inzwischen bereinigt und stellt wieder saubere Versionen von CPU-Z und HWMonitor bereit. Wer die betroffenen Programme zwischen dem 9. und 10. April 2026 heruntergeladen hat, sollte das System umgehend mit aktueller Antivirensoftware prüfen und die Indikatoren des Angriffs – die Kaspersky veröffentlicht hat – abgleichen. Der Vorfall zeigt einmal mehr, dass selbst langjährig vertrauenswürdige Quellen keine absolute Sicherheit garantieren: Auch ein kurzes Zeitfenster reicht aus, um Hunderte Nutzer in Gefahr zu bringen.