Nach Angaben des CPUID-Betreibers war nicht der eigentliche Download-Bereich betroffen, sondern eine sekundäre Funktion der Website, eine sogenannte Side-API. Über diese spielte die Seite zufällig Links zu fremden Domains aus, auf denen manipulierte Versionen von CPU-Z, HWMonitor und PerfMonitor lagen. Die originalen Dateien wurden dabei nicht verändert.

Kaspersky untersuchte den Vorfall ebenfalls und ordnet ihn als kombinierten Lieferketten- und Watering-Hole-Angriff ein. Während des Kompromittierungszeitraums lieferte die CPUID-Website demnach schädliche Installationsdateien für CPU-Z, HWMonitor, HWMonitor Pro und PerfMonitor aus.

Die Sicherheitsfirma identifizierte über 150 Opfer – überwiegend Privatpersonen, aber auch Organisationen aus Branchen wie Fertigung, Einzelhandel, Telekommunikation, Beratung und Landwirtschaft. Die meisten Infektionen beobachtete Kaspersky in Brasilien, China und Russland, wobei das Unternehmen in Nordamerika und Europa nur eingeschränkte Sichtbarkeit hat.

Die Angreifer setzten sowohl ZIP-Archive als auch eigenständige Installationsprogramme ein, die jeweils die legitime Software zusammen mit einer schädlichen Datei (cryptbase.dll) auslieferten. Diese wurde per DLL-Sideloading geladen. Letztlich diente die Kampagne der Verbreitung der erst kürzlich entdeckten Windows-Schadsoftware STX RAT, die den Angreifern die Kontrolle über das befallene System sowie den Diebstahl von Browser-Zugangsdaten, Kryptowährungs-Wallets und Passwörtern von FTP-Clients ermöglicht.

Beim zeitlichen Verlauf gehen die Angaben auseinander: Der CPUID-Betreiber datiert den Vorfall auf den 10. April und nennt ein Zeitfenster von rund sechs Stunden, zwischen 00:00 und 06:00 Uhr GMT. Kaspersky beobachtete dagegen einen längeren Zeitraum, von 9. April, 15:00 Uhr, bis 10. April, 10:00 Uhr GMT.

Forscher von Breakglass Intelligence stellten eine Verbindung zu einem Angriff mit trojanisierten Versionen der Software FileZilla her und berichten, der CPUID-Angriff sei Teil einer zehnmonatigen Kampagne gewesen. Breakglass vermutet einen russischsprachigen Bedrohungsakteur hinter der Operation und fand Hinweise darauf, dass der CPUID-Angriff bereits am 3. April begann.