Durante aproximadamente seis horas en la madrugada del 10 de abril de 2026, la web oficial de CPUID sirvió enlaces maliciosos de forma aleatoria junto a los instaladores legítimos de CPU-Z y HWMonitor. El problema comenzó alrededor de las 4:00 hora de Europa Central y ya está resuelto, pero cualquiera que haya descargado alguno de estos programas en esa franja horaria debería verificar el archivo antes de ejecutarlo.
El primer indicio público llegó desde Reddit, donde el usuario u/DMkiller reportó que al intentar actualizar HWMonitor desde la versión 1.42 a la 1.63, el archivo descargado desde la página oficial aparecía con el nombre «HWiNFO_Monitor_Setup.exe» en lugar del habitual «hwmonitor_1.62». Windows Defender lo marcó como virus, pero lo ejecutó de todas formas —un programa en ruso comenzó a instalarse, aunque logró cancelarlo a tiempo. Al analizarlo en VirusTotal, los resultados confirmaron que no era una falsa alarma.
Otros usuarios reportaron casos similares con nombres de archivo incorrectos y alertas de antivirus, y el grupo de ciberseguridad vx-underground confirmó que se trataba de un incidente troyanizado en múltiples etapas entregado a través de una ruta de dominio comprometida —no un falso positivo.
Mr. Titus Tech is correct. cpuid-dot-com is indeed delivering malware right now.
As I began poking this with I stick I discovered this is not your typical run-of-the-mill malware. This malware is deeply trojanized, distributes from a compromised domain (cpuid-dot-com), performs… https://t.co/ubkXmG7LKV pic.twitter.com/jPlAMmpijN
— vx-underground (@vxunderground) April 10, 2026
El desarrollador de ambas herramientas, Samuel Demeulemeester, declaró que los binarios principales no fueron alterados. El punto de entrada fue una API secundaria conectada al sitio web, que estuvo comprometida durante esas seis horas.
Here is the small statement I sent to everyone… 😓
Hi,
Investigations are still ongoing, but it appears that a secondary feature (basically a side API) was compromised for approximately six hours between April 9 and April 10, causing the main website to randomly display… https://t.co/ZfHRoWwkOM
— Doc TB (@d0cTB) April 10, 2026
La comprobación es sencilla si ya descargaste algo: clic derecho sobre el instalador → Propiedades → Firmas digitales. Un archivo legítimo de CPUID llevará su firma correspondiente. Si no aparece o muestra un firmante diferente, no lo ejecutes.
La web ya no distribuye archivos comprometidos, pero conviene no actualizar ninguna de las dos utilidades hasta tener confirmación definitiva de que todo está limpio. La popularidad de CPU-Z y HWMonitor entre usuarios que monitorizan hardware es precisamente lo que las convierte en objetivos atractivos para este tipo de ataques.
Fuente: Reddit, WCCFTech
