Attaque supply chain CPUID : CPU-Z a distribué un malware

Vous téléchargez un outil de diagnostic depuis son site officiel. Windows Defender sonne l'alarme. Ce scénario, qui ressemble à un test de sensibilisation, s'est produit pour de vrai les 9 et 10 avril 2026 sur cpuid.com, le site officiel de CPU-Z et HWMonitor, deux outils utilisés quotidiennement par des milliers d'administrateurs systèmes, ingénieurs et pentesters dans le monde.

Pendant environ 6 heures, le site officiel a distribué un installeur malveillant à la place des logiciels légitimes. Pas un site miroir douteux, pas un email de phishing, pas une pièce jointe suspecte : le site officiel, avec son certificat HTTPS valide et son URL habituelle.

Cette attaque supply chain met en lumière un risque que beaucoup d'organisations sous-estiment encore : la compromission d'un fournisseur de confiance pour atteindre indirectement ses utilisateurs. Et quand les cibles sont des profils avec des droits élevés sur les systèmes d'information, les conséquences peuvent être dévastatrices.

Dans cet article, nous décortiquons le mécanisme de cette attaque, analysons les risques pour votre organisation, et vous donnons les actions immédiates à engager si vous avez téléchargé CPU-Z ou HWMonitor entre le 9 et le 10 avril 2026.

Ce qui s'est passé : 6 heures de distribution de malware sur le site officiel

Les 9 et 10 avril 2026, des attaquants ont réussi à compromettre une API secondaire du site cpuid.com. Cette API gérait les liens de téléchargement des logiciels. En prenant le contrôle de cet élément d'infrastructure, les attaquants ont redirigé les téléchargements vers un installeur malveillant hébergé sur Cloudflare R2, un service de stockage cloud légitime, ce qui permettait de contourner les systèmes de filtrage basés sur la réputation des domaines.

Résultat : pendant environ 6 heures, tout utilisateur qui téléchargeait CPU-Z ou HWMonitor depuis le site officiel récupérait en réalité un malware. L'installeur avait l'apparence normale d'un logiciel CPUID, avec la même interface et les mêmes étapes d'installation. Rien ne permettait de détecter l'anomalie à l'oeil nu.

Ce type d'attaque supply chain est particulièrement redoutable car il exploite la confiance établie entre un éditeur et ses utilisateurs. Vous pensiez télécharger depuis une source sûre : techniquement, vous aviez raison. Mais la source elle-même avait été compromise.

Une chaîne d'infection en 5 étapes, entièrement en mémoire

Ce qui distingue cette attaque supply chain de beaucoup d'autres, c'est la sophistication du malware déployé. Les chercheurs de vx-underground ont décrit une infection fonctionnant entièrement en mémoire, sans écriture de fichiers malveillants sur le disque, ce qui rend la détection par les antivirus traditionnels très difficile.

La chaîne d'infection se déroule en cinq étapes. Premièrement, l'installeur malveillant dépose un faux fichier CRYPTBASE.dll dans le répertoire de l'application. Cette technique, appelée DLL sideloading, profite du fait que Windows charge certaines bibliothèques depuis le dossier local avant de les chercher dans les répertoires système. Deuxièmement, à l'exécution du logiciel légitime, Windows charge automatiquement le faux CRYPTBASE.dll. Troisièmement, le code malveillant s'exécute en mémoire et charge du code .NET compilé à la volée, sans jamais écrire de fichier exécutable sur le disque. Quatrièmement, ce code déchiffre et déploie les étapes suivantes du malware, toujours en mémoire. Cinquièmement, le payload final, un RAT nommé STX RAT, est activé.

STX RAT est capable de voler les identifiants stockés dans Chrome, les cookies de session, et de contourner les protections MFA basées sur les cookies. Il communique avec un serveur de commande et contrôle localisé à l'adresse welcome[.]supp0v3[.]com. Ce niveau de sophistication indique un groupe d'attaquants expérimenté, le même suspecté d'être à l'origine d'une attaque similaire contre FileZilla en mars 2026.

Des cibles à hauts privilèges : admins, pentesters, ingénieurs

CPU-Z et HWMonitor ne sont pas des outils grand public. Ce sont des outils techniques utilisés principalement par des administrateurs systèmes, des ingénieurs hardware et des professionnels de la cybersécurité. Des profils qui, par définition, ont des accès élevés sur les systèmes d'information : droits d'administration, accès VPN, tokens d'API, connexions aux consoles cloud.

C'est précisément ce qui rend cette attaque supply chain particulièrement inquiétante. Compromettre un seul administrateur système dans une PME, c'est potentiellement ouvrir l'accès à l'ensemble de l'infrastructure. Compromettre un pentester, c'est accéder à ses outils, ses rapports, et les accès temporaires accordés par ses clients.

Pour les organisations qui font appel à des prestataires de cybersécurité ou qui emploient des profils techniques, cette attaque rappelle que la surface d'attaque inclut aussi les outils utilisés par vos équipes IT, pas seulement vos serveurs et vos applications métier.

Actions immédiates si vous avez téléchargé entre le 9 et le 10 avril 2026

Si vous ou l'un de vos collaborateurs avez téléchargé CPU-Z ou HWMonitor depuis cpuid.com entre le 9 et le 10 avril 2026, voici les actions à engager sans délai.

Considérez la machine concernée comme compromise jusqu'à preuve du contraire. Ne vous fiez pas uniquement à votre antivirus : le caractère fileless du malware réduit significativement l'efficacité des détections classiques.

Changez immédiatement tous les mots de passe qui auraient pu être utilisés sur cette machine, en particulier les comptes Google Chrome, les accès VPN, les accès aux consoles d'administration et les comptes de messagerie professionnelle.

Révoquez toutes les sessions actives sur les services web critiques : Microsoft 365, Google Workspace, AWS, Azure, et tout autre service cloud utilisé. Un cookie de session volé permet à un attaquant de se connecter sans mot de passe et de contourner le MFA.

Auditez les accès récents sur vos systèmes pour détecter des connexions inhabituelles, des créations de comptes non autorisées ou des modifications de configuration.

Faites analyser la machine par un professionnel de la cybersécurité avec des outils adaptés à la détection des menaces fileless.

La supply chain, le nouveau périmètre à défendre

Cette attaque supply chain illustre une réalité que l'équipe INTRUZION constate régulièrement dans ses missions d'audit : le périmètre de sécurité d'une organisation ne s'arrête plus à ses propres systèmes. Il s'étend à tous les outils, services et fournisseurs dont elle dépend.

La compromission d'un éditeur de logiciel, d'un prestataire cloud, d'une bibliothèque open source ou d'un outil de développement peut servir de point d'entrée dans des dizaines, voire des centaines d'organisations clientes. Et les attaquants l'ont bien compris.

Pour les PME et collectivités, la réponse passe par plusieurs axes complémentaires : mise en place d'une politique de vérification des logiciels téléchargés (notamment la vérification des hash SHA-256 avant installation), segmentation des postes des administrateurs systèmes pour limiter l'impact d'une compromission, et surveillance des comportements anormaux sur le réseau, notamment les connexions sortantes vers des domaines inconnus.

FAQ

Qu'est-ce qu'une attaque supply chain ?

Une attaque supply chain consiste à compromettre un fournisseur ou un outil de confiance pour atteindre indirectement ses clients ou utilisateurs. Plutôt que d'attaquer une organisation frontalement, les attaquants visent un maillon de sa chaîne d'approvisionnement logicielle ou logistique.

Comment savoir si j'ai téléchargé la version malveillante de CPU-Z ?

Si vous avez téléchargé CPU-Z ou HWMonitor depuis cpuid.com entre le 9 et le 10 avril 2026, considérez-vous comme potentiellement exposé. La détection est difficile car le malware est fileless. Faites appel à un professionnel pour une analyse forensique de la machine concernée.

Le MFA protège-t-il contre ce type d'attaque ?

Pas entièrement. STX RAT est capable de voler les cookies de session, ce qui permet à un attaquant de contourner le MFA. Une fois connecté avec un cookie valide, il est authentifié sans avoir à saisir de mot de passe ni de code 2FA. C'est pourquoi la révocation des sessions est une action prioritaire.

Mon antivirus aurait-il dû détecter ce malware ?

Pas nécessairement. Les malwares fileless fonctionnant entièrement en mémoire sont conçus pour contourner les antivirus traditionnels et certains EDR. Seules des solutions de détection comportementale avancée ont une chance de les repérer.

Comment protéger mon organisation contre les attaques supply chain ?

Plusieurs mesures combinées réduisent le risque : politique de vérification des hash des logiciels téléchargés, segmentation réseau des postes à privilèges, surveillance des connexions sortantes inhabituelles, et sensibilisation des équipes techniques. Un audit de sécurité régulier permet d'identifier les failles de votre chaîne d'approvisionnement logicielle.

Conclusion

L'attaque supply chain contre CPUID n'est pas un incident isolé. Elle s'inscrit dans une tendance de fond : les attaquants ciblent désormais les outils les plus utilisés par les profils techniques, précisément parce que ces profils ont les accès les plus critiques. Dans ce contexte, la vigilance ne peut plus reposer uniquement sur les antivirus et les formations de sensibilisation.

L'équipe INTRUZION, basée à Grenoble, accompagne les PME et collectivités dans l'évaluation et le renforcement de leur sécurité, du poste de travail à l'infrastructure complète. Si vous pensez avoir été exposé, ou si vous souhaitez auditer votre niveau de préparation face aux menaces supply chain, contactez-nous pour un Security Check ou un audit ciblé.