Tools wie CPU-Z oder HWMonitor sind ein bisschen wie der Blick unter die Motorhaube: schnell, praktisch, vertraut. Aber wenn selbst ein etabliertes Diagnose-Tool plötzlich als Trojaner-Taxi endet, ist das ein Reminder mit Presslufthammer:
Vertrauen ist in der IT leider kein Sicherheitskonzept.
Anfang April 2026 wurde die offizielle CPUID-Website kompromittiert. In einem kurzen Zeitfenster zwischen dem 9. und 10. April wurden dort manipulierte Download-Links ausgegeben.
CPUID selbst erklärte, dass nicht die original signierten Dateien kompromittiert waren, sondern ein „secondary feature“, also eine Art Side-API, die für ungefähr sechs Stunden missbraucht wurde und zufällig bösartige Links auf Dritt-Domains ausspielte.
Das klingt erst einmal nach „nur sechs Stunden, wird schon nicht so wild sein“. Leider doch. Genau in diesem Zeitraum haben Nutzer statt CPU-Z, HWMonitor, HWMonitor Pro oder PerfMonitor trojanisierte Installer heruntergeladen.
Analysen von Kaspersky und weiteren Forschern zufolge enthielten diese Pakete eine bösartige CRYPTBASE.dll, die per DLL-Sideloading nachgeladen wurde. Der finale Payload war STX RAT, ein mehrstufiger, speicherresidenter Trojaner mit starker Tarnung und Fokus auf Datendiebstahl.
Und jetzt kommt der Teil, der für IT-Entscheider relevant ist: Solche Angriffe zielen nicht auf „irgendwen“.
Sie treffen genau die Menschen, die mit Admin-Rechten arbeiten, Tools testen, Systeme prüfen oder Software bewerten.
Also die Leute, bei denen ein kompromittierter Download nicht nur einen einzelnen Laptop betrifft, sondern im schlimmsten Fall Identitäten, Sessions, Credentials und damit gleich den Seiteneingang ins Unternehmen.
Das macht Supply-Chain-Angriffe so fies: Sie nutzen nicht nur Technik, sondern unsere Gewohnheit. „Offizielle Website“ klingt schließlich nach „sicher“.
Nach aktuellem Stand wurden die Download-Links auf der CPUID-Seite auf fremdgehostete Dateien umgebogen. Mehrere Berichte nennen Cloudflare-R2-Storage als Zwischenstation für die manipulierten Dateien.
Nutzer bemerkten teils verdächtige Anzeichen wie falsche Dateinamen oder sogar russischsprachige Installationsdialoge. Das ist ungefähr so vertrauenerweckend wie ein Paketbote, der deine Kontodaten wissen will.
Die Schadsoftware lief über eine Sideloading-Kette, zu einer C2-Infrastruktur auf ungewöhnlichen High Ports funkte und dass sich Verbindungen zu früheren Kampagnen zeigten, darunter eine FileZilla-bezogene Verteilung mit ähnlicher Infrastruktur und ähnlicher Technik.
Beim Angriff, so die Hypothese von Low Level, könnte ein älteres Apache-Setup beziehungsweise dessen Rewrite-Mechanik beim Umleiten auf Konfigurationsdateien eine Rolle gespielt haben – ausdrücklich als moderate Einschätzung, nicht als gesicherte Abschlussursache.
Weil ein Grundproblem jedes Unternehmen betrifft, das Drittanbieter-Software nutzt. Also praktisch jedes Unternehmen.
Wenn Angreifer es schaffen, an einem vertrauenswürdigen Punkt der Software-Lieferkette anzusetzen, dann greifen klassische Vorsichtsregeln nicht.
„Nur von der Herstellerseite herunterladen“ ist sinnvoll, aber eben nicht unfehlbar. „Datei ist signiert“ hilft, aber auch das schützt nicht, wenn der Installer drumherum manipuliert oder ein legitimer Prozess für DLL-Sideloading missbraucht wird.
Hinzu kommt: Der CPUID-Fall steht nicht isoliert. Mehrere Analysen sehen Überschneidungen mit einer früheren FileZilla-Kampagne und verorten die Aktivität in einer länger laufenden Serie, die mindestens bis 2025 zurückreicht.
Selbst wenn die Attribution noch unscharf bleibt, ist das Muster klar: wiederverwendete Infrastruktur, ähnliche Malware-Komponenten, ähnliche Tarnung. Das riecht nicht nach Zufall, sondern nach System.
Viele Sicherheitskonzepte behandeln „offizielle Herstellerseite“ fast wie ein Gütesiegel. Der CPUID-Vorfall zeigt, dass du an dieser Stelle trotzdem prüfen musst: Hashes, Signaturen, EDR-Erkennung, Download-Reputation, Sandbox-Checks und notfalls Freigabeprozesse auch für Admin-Tools.
Sonst rutschen kleine Tools gern an den Kontrollen vorbei, weil sie „nur mal eben schnell“ installiert werden. Und genau dieses „mal eben“ ist der Lieblingsmoment der Angreifer.
CPU-Z und HWMonitor sind keine Exoten. Sie werden von Technikern, Enthusiasten, Support, Admins und in manchen Unternehmen auch in Troubleshooting-Prozessen genutzt.
Wer solche Zielgruppen kompromittiert, bekommt Geräte mit erhöhten Rechten, erweiterten Zugängen und wertvollen Browser-Sessions.
Wenn du bei „Supply Chain“ sofort nur an npm, Python-Pakete oder Build-Pipelines denkst, ist das verständlich, aber zu eng. Der CPUID-Fall war im Kern ein Software-Lieferkettenproblem auf Download-Ebene.
Das heißt: Auch klassische IT-Betriebe, Managed Clients, Helpdesks und Infrastrukturteams müssen dieses Risiko auf dem Zettel haben. Nicht nur die Entwickler.
Wenn in deinem Unternehmen am 9. oder 10. April 2026 Tools von CPUID heruntergeladen wurden, würde ich nicht auf „wird schon gut gegangen sein“ setzen. Prüfe lieber aktiv:
Wenn du einen Verdacht hast, denke nicht nur an Malware-Bereinigung. Behandle den Fall wie eine mögliche Identity Compromise: Tokens widerrufen, Passwörter zurücksetzen, privilegierte Konten prüfen, Browserdaten bewerten, Seitwärtsbewegungen analysieren.
Ein Infostealer ist selten höflich genug, nach dem Diebstahl die Tür wieder zu schließen.
Der Fall passt leider sehr gut zu dem, was wir hier im Blog immer wieder sehen: Angreifer suchen nicht den lautesten Weg, sondern den bequemsten. Mal ist es ein Supply-Chain-Angriff, mal ein täuschend echter Login-Flow, mal eine Benutzerinteraktion, die harmlos aussieht und am Ende teuer wird.
Die Methode variiert, das Muster bleibt: Vertrauen wird missbraucht, Routinen werden ausgenutzt, und technische Schutzmaßnahmen allein reichen nicht, wenn Prozesse und Aufmerksamkeit nicht mitziehen.
Das Thema gehört nicht in die Schublade „interessanter Security-Newsfall“, sondern in die Praxis: Software-Freigaben, Admin-Härtung, Monitoring, Awareness für IT-Teams und saubere Reaktionspläne.
Der CPUID-Angriff ist ein lehrbuchartiges Beispiel dafür, wie moderne Supply-Chain-Angriffe funktionieren: kurzer Zeitraum, hohe Glaubwürdigkeit, geschickte Tarnung, wertvolle Zielgruppe.
Deshalb sollte jedes Unternehmen hinschauen.
Letzten Endes ist die unangenehme Wahrheit: Nicht jede kompromittierte Software kommt aus dubiosen Ecken des Internets. Manchmal kommt sie geschniegelt direkt von der Seite, der du gestern noch blind vertraut hast.