Kaspersky'nin Global Araştırma ve Analiz Ekibi (GReAT), bilgisayar donanım performansını izlemek için dünya çapında milyonlarca bilgisayar kullanıcısı tarafından kullanılan ücretsiz araçlar olan CPU-Z ve HWMonitor'un resmi indirme sitesinin 9 Nisan'da ele geçirildiğini bildirdi. Ekip, yaklaşık 19 saat boyunca bu yazılımı indiren kullanıcıların, zararlı yazılımlarla enfekte edilmiş kurulum paketleri aldığını belirtti. GReAT, birçok ülkede 150'den fazla doğrulanmış kurban tespit ettiğini ve zararlı yazılım altyapısını önceki bir kampanyayla ilişkilendirdiğini vurguladı. CPU-Z ve HWMonitor, işlemci hızlarını, sıcaklıkları ve güç tüketimini okumak için donanım meraklıları, BT yöneticileri ve sistem mühendisleri tarafından rutin olarak kullanılan, en sık indirilen PC teşhis araçları arasında yer almaktadır. Bu durum, ele geçirme süresinin önemini artırmaktadır: 9 Nisan yaklaşık 16:00 CET ile 10 Nisan yaklaşık 11:00 CET arasında cpuid.com'dan yazılım indiren herkesin, bunun yerine bir arka kapı yazılımı yüklemiş olabileceği belirtildi. CPUID şirketi ele geçirmeyi doğruladığını ve saldırı tespit edildikten sonra indirmeleri geri çektiğini bildirdi. Kaspersky GReAT ekibinin daha sonraki analizi, bu sürenin CPUID'nin başlangıçta belirttiği altı saat yerine yaklaşık 19 saat sürdüğünü kaydetti. Etkilenen dört ürün; CPU-Z 2.19, HWMonitor 1.63, HWMonitor Pro 1.57 ve PerfMonitor 2.04 olarak açıklandı. Bu ürünler hem bağımsız kurulum paketleri hem de ZIP arşivleri olarak dağıtıldı. Ele geçirme sırasında, cpuid.com'daki indirme bağlantıları, saldırganlar tarafından kontrol edilen dört web sitesine yönlendiren URL adresleriyle değiştirildiği belirtildi. Trojan tarafından değiştirilmiş paketler, kötü amaçlı bir DLL kütüphanesi ile birlikte meşru, dijital olarak imzalanmış bir CPUID yürütülebilir dosyası içeriyordu. Çalıştırıldığında, bu dosyanın uzak bir sunucuya bağlanarak sonunda veri çalabilen ve kalıcı uzaktan erişim sağlayabilen tam işlevli bir arka kapı olan STX RAT'ı kurduğunu Kaspersky Global Araştırma ve Analiz Ekibi aktardı. Ekip, saldırganların arka kapıyı herhangi bir değişiklik yapmadan uyguladığını, yani mevcut, halka açık YARA kurallarının bunu doğrudan tespit edebileceğini de kaydetti. Topluluk araştırmacıları, bu saldırının altyapısı ile Mart 2026'daki sahte FileZilla kurulum paketlerini içeren bir kampanya arasındaki benzerlikleri fark ettiğini aktardı. Kaspersky GReAT ekibinin analizi bu bağlantıyı doğruladığını: komuta-kontrol (C2) sunucusu adresi ve gömülü yapılandırma formatı, Malwarebytes tarafından belgelenen önceki operasyonda kullanılanlarla aynı olduğu belirtildi. Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Georgiy Kucherin, tedarik zinciri saldırıları ve watering hole saldırılarının, kullanıcıların resmi bir web sitesinden indirilen yazılıma güvenmemeleri için bir nedenleri olmadığı için savunma açısından en zorlu tehditler arasında kabul edildiğini belirtti. Kucherin, bu durumda ise saldırganın saldırıyı uygulama şeklinin etkisini azalttığını, çünkü daha önce belgelenmiş bir altyapının ve değiştirilmemiş, kamuya açık bir arka kapının yeniden kullanılmasının, Kaspersky Next gibi güncellenmiş güvenlik çözümlerinin ele geçirme süresince kötü amaçlı içeriği tespit edip engelleyebileceği anlamına geldiğini de açıkladı. Kaspersky GReAT, telemetrisi aracılığıyla 150'den fazla kurban tespit ettiğini bildirdi. Kurbanların çoğunluğunun bireysel kullanıcılar olduğu, bunun CPUID şirketinin yazılımının tüketici odaklı yapısıyla uyumlu olduğu açıklandı. Etkilenen kuruluşlar arasında perakende, üretim, danışmanlık hizmetleri, telekomünikasyon ve tarım sektörleri yer aldığı belirtildi. Kaspersky'nin Mart 2026 tarihli bir araştırması, tedarik zinciri saldırılarının işletmelerin son 12 ayda karşılaştığı en yaygın siber tehdit olduğunu, ancak kuruluşların sadece yüzde 9'unun bu saldırıları öncelikli bir endişe olarak sıraladığını da vurguladı. Kaspersky, 9-10 Nisan 2026 tarihleri arasında cpuid.com'dan yazılım indiren herkese aşağıdaki adımları atmalarını tavsiye ettiğini açıkladı. Ele geçirme göstergelerinin tam listesi, dosya karma değerleri ve kötü amaçlı URL'ler dahil olmak üzere, Kaspersky GReAT ekibinin Securelist platformundaki tam teknik analizinde mevcut olduğu belirtildi.