Alat pemantauan perangkat keras seperti CPU-Z dan HWMonitor adalah perangkat lunak wajib bagi para profesional TI, perakit PC, dan gamer di seluruh dunia. Namun, kepercayaan terhadap utilitas populer ini baru saja dieksploitasi.

Situs web resmi pengembangnya, CPUID (cpuid[.]com), dilaporkan telah disusupi oleh aktor ancaman tak dikenal. Selama kurang dari 24 jam—tepatnya dari 9 April pukul 15:00 UTC hingga 10 April pukul 10:00 UTC—situs tersebut dibajak untuk mendistribusikan penginstal berbahaya yang memuat Remote Access Trojan (RAT) mematikan bernama STX RAT.

CPUID telah mengonfirmasi pelanggaran tersebut, menyatakan bahwa peretas tidak berhasil menembus berkas (file) asli yang ditandatangani secara digital, melainkan mengeksploitasi "fitur sekunder (API sampingan)" pada infrastruktur web mereka. Celah ini digunakan untuk mengalihkan tautan unduhan pengunjung secara acak ke domain berbahaya.

Laporan dari raksasa keamanan siber Rusia, Kaspersky, membedah bagaimana peretas mengelabui sistem pertahanan titik akhir (endpoint).

Baca Juga: Kebocoran Data Pasien Telehealth "Hims", Ancaman Pemerasan Medis Membayangi

Alih-alih membuat penginstal palsu dari nol, peretas menggunakan taktik DLL Side-Loading. Mereka mendistribusikan arsip ZIP dan penginstal yang memuat aplikasi (EXE) CPUID yang sah dan bersih. Namun, mereka menyisipkan sebuah file Dynamic Link Library (DLL) berbahaya yang diberi nama CRYPTBASE.dll ke dalam folder yang sama.

Ketika pengguna menjalankan program CPU-Z atau HWMonitor yang sah, sistem operasi secara otomatis memuat CRYPTBASE.dll palsu tersebut karena berada di direktori lokal, mengira itu adalah pustaka Windows yang asli. Setelah dimuat, DLL berbahaya ini akan:

1. Melakukan pemeriksaan anti-kotak pasir (anti-sandbox) untuk menghindari deteksi analisis keamanan.
2. Menghubungi peladen eksternal untuk mengunduh payload utama, yakni STX RAT.

STX RAT bukanlah malware sembarangan. Menurut firma keamanan eSentire, trojan ini dilengkapi dengan fungsionalitas Hidden Virtual Network Computing (HVNC) dan pencuri informasi (infostealer). Ia memberikan peretas kendali penuh secara diam-diam atas PC korban, memfasilitasi eksekusi kode di dalam memori (PowerShell/Shellcode), manipulasi proksi terbalik (reverse proxy), dan interaksi desktop secara langsung.

Meskipun teknik DLL side-loading yang digunakan cukup rapi, Kaspersky menyoroti bahwa tingkat Keselamatan Operasional (OPSEC) kelompok ancaman ini tergolong rendah.

Kesalahan terbesar mereka adalah mendaur ulang infrastruktur. Alamat peladen Command-and-Control (C2) dan konfigurasi koneksi yang digunakan dalam serangan CPUID ini sama persis dengan yang digunakan pada kampanye penginstal FileZilla palsu pada bulan sebelumnya. Kelalaian ini memungkinkan para peneliti keamanan untuk mendeteksi anomali ini hampir seketika.

Kaspersky mencatat lebih dari 150 korban—sebagian besar individu, namun mencakup pula organisasi di sektor ritel, manufaktur, telekomunikasi, dan pertanian—dengan konsentrasi infeksi tertinggi di Brasil, Rusia, dan Tiongkok.

Insiden peretasan situs CPUID ini adalah studi kasus klasik dari serangan Watering Hole, di mana peretas tidak langsung menyerang target akhir, melainkan meracuni "sumber air" (situs web terpercaya) yang sering dikunjungi oleh target mereka (dalam hal ini, administrator TI dan pengguna PC teknis).

Insiden ini mempertegas bahwa mengunduh perangkat lunak dari "situs web resmi" tidak lagi menjadi jaminan keamanan 100%. Berdasarkan rekam jejak respons insiden yang kami sempat kami tangani, organisasi harus memperkuat postur pertahanan mereka melalui tiga pilar teknis utama:

1. Optimalisasi Deteksi Titik Akhir (EDR) terhadap DLL Hijacking: Tim Security Operations Center (SOC) harus mengkonfigurasi EDR mereka untuk menandai atau memblokir aktivitas anomali di mana sebuah executable (EXE) yang ditandatangani sah mencoba memuat file DLL yang tidak ditandatangani (unsigned) dari direktori sementara (Temp) atau direktori unduhan pengguna, alih-alih dari direktori sistem Windows (System32).
2. Karantina Berdasarkan Intelijen Ancaman (Threat Intelligence): Karena peretas sering kali malas dan mendaur ulang infrastruktur C2 mereka (seperti kasus domain FileZilla di atas), perusahaan harus memastikan bahwa sistem DNS dan Firewall mereka terintegrasi dengan umpan Threat Intelligence (TI) yang diperbarui secara real-time. Jika IOC (Indikator Kompromi) dari kampanye sebelumnya sudah diblokir, STX RAT tidak akan bisa melakukan call-home ke peladen peretas.
3. Protokol Verifikasi Hash: Sebelum menyebarkan utilitas TI (seperti HWMonitor) ke seluruh mesin perusahaan, administrator wajib memverifikasi nilai Hash (SHA-256) dari file yang diunduh dan mencocokkannya dengan rilis resmi pengembang.

Kecanggihan sebuah serangan tidak selalu bergantung pada malware-nya, tetapi sering kali bergantung pada seberapa kreatif peretas mengeksploitasi rasa saling percaya (trust) antara pengguna dan pengembang.