Es war ein kurzes Zeitfenster – gerade einmal 19 Stunden. Und dennoch reichte es aus, um über 150 Organisationen weltweit zu kompromittieren. Zwischen dem 9. April 2026, 15:00 Uhr UTC, und dem 10. April 2026, 10:00 Uhr UTC, lieferte die offizielle Website des renommierten Herstellers CPUID statt der bekannten Systemanalyse-Tools CPU-Z und HWMonitor eine gefährliche Fracht aus: den STX Remote Access Trojan (STX RAT) – eingebettet in täuschend echte Installer, die augenscheinlich vom Originalserver stammten.
CPUID ist unter IT-Administratoren und Systemtechnikern seit Jahren ein vertrauenswürdiger Name. CPU-Z ist in vielen IT-Abteilungen Standard für die schnelle Hardware-Inventarisierung, HWMonitor gilt als unverzichtbares Tool zur Temperatur- und Spannungsüberwachung von Servern und Workstations. Genau diese langjährig aufgebaute Vertrauensbasis nutzten die Angreifer gezielt aus – ein Lehrbuchbeispiel für moderne Supply-Chain-Kompromittierung.
Was genau passierte: Chronologie des Angriffs
Unbekannte Bedrohungsakteure – nach Einschätzung mehrerer Sicherheitsfirmen höchstwahrscheinlich russischsprachig und entweder finanziell motiviert oder als sogenannte Initial Access Broker tätig – verschafften sich Zugang zu den Webservern von CPUID. Sie ersetzten die legitimen Download-URLs der offiziellen Software durch Weiterleitungen auf externe, kompromittierte Server. Besucher der offiziellen Website cpuid.com wurden dadurch unbemerkt auf manipulierte Installer umgeleitet.
Folgende Softwareversionen waren von der Umleitung betroffen:
- CPU-Z 2.19
- HWMonitor Pro 1.57
- HWMonitor 1.63
- PerfMonitor 2.04
CPUID bemerkte den Eingriff und stellte die legitimen Downloads nach rund 19 Stunden wieder her. Doch zu diesem Zeitpunkt hatten bereits über 150 Nutzer und Organisationen die kompromittierten Installer heruntergeladen – darunter nachweislich Unternehmensrechner in mehreren Branchen und Ländern.
Die technische Methode: DLL-Sideloading mit CRYPTBASE.dll
Die Angreifer setzten auf eine technisch ausgefeilte, aber in der Praxis häufig unterschätzte Methode: DLL Sideloading. Die manipulierten Installer enthielten die legitime, korrekt digital signierte Hauptanwendung – ergänzt durch eine schadhafte DLL mit dem Dateinamen CRYPTBASE.dll.
Windows lädt DLLs nach einer festgelegten Suchreihenfolge. Liegt eine gleichnamige, bösartige DLL im selben Verzeichnis wie die Zielanwendung, wird sie bevorzugt geladen. Beim Starten von HWMonitor_x64.exe lud Windows deshalb automatisch die manipulierte CRYPTBASE.dll – ohne Warnung, ohne Fehlermeldung, ohne sichtbare Anomalie für den Endnutzer.
Die DLL selbst ist bemerkenswert komplex aufgebaut. Sie übernimmt mehrere Aufgaben parallel:
- C2-Kommunikation: Verbindungsaufbau zum Command-and-Control-Server der Angreifer
- Anti-Sandbox-Prüfungen: Aktive Erkennung von Analyse- und Sandbox-Umgebungen, um forensische Analyse zu erschweren
- Payload-Auslieferung: Nachladen und Entschlüsseln des eigentlichen Schadcodes
Das Besondere am Ausführungsmodell: Die gesamte Payload-Kette läuft ausschließlich im Arbeitsspeicher. Mittels Reflective PE Loading, XOR-Entschlüsselung und mehrschichtiger bitweiser Transformationen wird der Schadcode über fünf Stufen entpackt und ausgeführt – ohne dass eine einzige Zwischendatei auf die Festplatte geschrieben wird. Teile der Konfigurationsdaten wurden sogar über IPv6-Adress-Encodierung verschleiert – eine ungewöhnliche Technik, die die Erkennung durch Signatur-Scanner weiter erschwert.
STX RAT: Das Arsenal des Angreifers
Der STX Remote Access Trojan ist kein einfaches Backdoor-Tool. Sicherheitsforscher, die Samples analysiert haben, beschreiben ihn als vollständig ausgestattetes Post-Exploitation-Framework. Einmal auf einem System aktiv, bietet STX RAT den Angreifern unter anderem:
- In-Memory-Ausführung beliebiger Dateiformate: EXE, DLL, PowerShell-Skripte, Shellcode
- Vollständige Desktop-Interaktion und Remote-Steuerung
- Reverse-Proxy- und Tunnel-Funktionen zur Netzwerkpenetration
- Exfiltration gespeicherter Browser-Anmeldedaten
- Nachladen weiterer Malware-Module nach Bedarf
- Persistenzmechanismen über MSBuild-Missbrauch
Der C2-Server der Angreifer ist unter der Domain welcome[.]supp0v3[.]com erreichbar. Das früheste bekannte Sample trug den Dateinamen superbad.exe und kommunizierte mit der IP-Adresse 95.216.51[.]236. Auffällig: Dieselbe Infrastruktur wurde bereits in einer früheren Kampagne mit trojanisierten FileZilla-Installern eingesetzt – ein klares Indiz für denselben Bedrohungsakteur.
Warum Supply-Chain-Angriffe klassische Abwehr unterlaufen
Der CPUID-Vorfall verdeutlicht, warum ganzheitliche Informationssicherheit weit über den Netzwerkperimeter hinausgehen muss. Drei Faktoren machen Supply-Chain-Angriffe besonders gefährlich:
Das Vertrauen sitzt tief
CPU-Z und HWMonitor sind keine windigen Freeware-Tools aus obskuren Quellen – sie gehören zur Standard-Werkzeugkiste professioneller IT-Teams. Wer über Jahre hinweg diese Tools problemlos eingesetzt hat, fragt beim nächsten Download eben nicht nach einer Hash-Prüfung. Die Angreifer wussten das und kalkulierten es ein.
Die legitime Signatur täuscht Sicherheitslösungen
Da die eigentliche Hauptanwendung korrekt signiert blieb, stuften viele Endpoint-Lösungen den Installer zunächst als legitim ein. DLL-Sideloading unter dem Radar zu halten, ist kein akademisches Konzept – es funktioniert in der Praxis erschreckend zuverlässig.
In-Memory-Execution umgeht signaturbasiertes AV
Klassische Antivirenlösungen, die auf Dateisignaturen setzen, greifen bei einem Schadcode, der ausschließlich im RAM lebt, ins Leere. Ohne verhaltensbasierte Erkennung und Memory-Scanning bleiben solche Infektionen unsichtbar – oft bis zur aktiven Ausnutzung.
Sofortmaßnahmen für IT-Verantwortliche
Falls in Ihrer Organisation im Zeitraum 9. April 2026, 15:00 UTC bis 10. April 2026, 10:00 UTC, Software von der CPUID-Website heruntergeladen wurde, sollten Sie umgehend handeln:
1. Download-Zeitstempel und Quellen identifizieren
Identifizieren Sie alle Systeme, auf denen im genannten Zeitfenster CPUID-Software installiert oder aktualisiert wurde. Nutzen Sie SIEM-Logs, Endpoint-Daten oder Software-Inventar-Tools für die Analyse.
2. Hash-Vergleich durchführen
Vergleichen Sie die SHA-256-Hashes der installierten Dateien mit den offiziellen, von CPUID nach dem Vorfall publizierten sauberen Prüfsummen. Abweichungen sind ein sicheres Indiz für Kompromittierung.
3. IOC-Scan in der gesamten Umgebung
Suchen Sie aktiv nach folgenden Indikatoren der Kompromittierung:
- Datei
CRYPTBASE.dllim Installationsverzeichnis der CPUID-Tools - Netzwerkverbindungen zu
welcome.supp0v3.comoder95.216.51.236 - Ungewöhnliche Speicherprozesse nach dem Start von CPU-Z oder HWMonitor
- MSBuild-Prozesse ohne plausiblen Build-Kontext
4. Betroffene Systeme sofort isolieren
Systeme mit Verdacht sofort vom Unternehmensnetzwerk trennen und forensische Untersuchung einleiten. Beachten Sie: Bei Unternehmen, die unter NIS2, ISO 27001 oder DORA fallen, kann eine Meldepflicht gegenüber dem BSI bestehen – frühzeitige Dokumentation des Vorfalls ist daher essenziell.
5. Software-Download-Prozesse neu bewerten
Überprüfen Sie, ob Ihre IT-Organisation über definierte Prozesse zur Integritätsprüfung von Software-Downloads verfügt. Ein internes Software-Repository mit Hash-Verifizierung (z. B. über Chocolatey, Scoop oder ein internes WSUS-Äquivalent) reduziert das Risiko solcher Angriffe erheblich.
6. EDR auf verhaltensbasierte Erkennung prüfen
In-Memory-Malware wie STX RAT erfordert Endpoint Detection and Response (EDR) mit verhaltensbasierter Erkennung und Memory-Scanning. Prüfen Sie, ob Ihre aktuelle Sicherheitslösung diese Fähigkeiten mitbringt. Das pleXtec-Team unterstützt Sie bei der Evaluierung geeigneter Lösungen – sprechen Sie uns an.
Der größere Kontext: Trusted-Source-Angriffe häufen sich 2026
Der CPUID-Vorfall steht nicht allein. 2026 sehen wir eine deutliche Zunahme von Angriffen, die sich gezielt das Vertrauen in etablierte Software-Lieferketten zunutze machen. Ob kompromittierte Update-Server, manipulierte Open-Source-Pakete in NPM oder PyPI, oder gehackte Entwickler-Accounts bei GitHub – die Angriffsfläche der Software-Lieferkette ist riesig und in vielen Unternehmen noch unzureichend abgesichert.
Für IT-Verantwortliche im deutschen Mittelstand bedeutet das: Nicht nur auf Perimeter-Sicherheit setzen. Software-Integrität, Netzwerksegmentierung und Verhaltensmonitoring auf Endpoints sind elementare Bausteine einer modernen IT-Sicherheitsstrategie – auch und gerade für vermeintlich harmlose System-Tools, denen IT-Teams seit Jahren vertrauen.