Um grupo de hackers ligado à China está usando uma falha não corrigida do Windows para espionar diplomatas europeus. Empresas de segurança relataram que o grupo, UNC6384, teve como alvo autoridades na Hungria, Bélgica e Sérvia nos últimos meses.
A campanha explora um bug de dia zero (CVE-2025-9491) em arquivos de atalho do Windows para instalar o software de espionagem PlugX.
Esta ferramenta dá aos invasores acesso profundo para roubar arquivos confidenciais e monitorar comunicações governamentais, cumprindo uma missão clara de espionagem cibernética. É preocupante que a Microsoft saiba da falha desde março, mas ainda não lançou um patch de segurança, deixando uma ampla gama de sistemas em risco.
Durante meses, uma falha crítica no Windows forneceu uma porta de entrada para hackers patrocinados pelo Estado. A vulnerabilidade, oficialmente rastreada como CVE-2025-9491, é uma falha de representação falsa da interface do usuário na forma como o sistema operacional processa arquivos de atalho.LNK.
Os invasores podem criar atalhos maliciosos que executam código arbitrário quando um usuário simplesmente os visualiza no File Explorer, tornando-a uma ferramenta potente para acesso inicial sem a necessidade de um clique.
A Microsoft foi informada da falha no início de 2025. No entanto, a empresa determinou que ela “não atende aos padrões de manutenção imediata”, deixando a vulnerabilidade sem correção.
Essa decisão teve consequências significativas. Segundo pesquisadores de segurança, a falha não é uma exploração de nicho. Pelo menos 11 grupos de hackers distintos patrocinados pelo Estado têm usado-o ativamente desde março de 2025 para implantar uma variedade de cargas úteis de malware, tornando-o uma ferramenta amplamente utilizada no arsenal cibernético estadual.
UNC6384: uma campanha de espionagem apoiada pelo Estado chinês
Pesquisadores de segurança do Arctic Wolf Labs detalhou uma campanha sofisticada aproveitando exatamente essa falha, atribuindo-a a um ator de ameaça afiliado à China conhecido como UNC6384.
Esse grupo, também amplamente conhecido como Mustang Panda, tem um histórico de atingir entidades diplomáticas e governamentais. Historicamente, seu foco tem sido no Sudeste Asiático, tornando esta nova campanha uma expansão significativa de sua segmentação geográfica.
O relatório da empresa afirma: “A Arctic Wolf Labs avalia com grande confiança que esta campanha é atribuível a UNC6384, um ator de ameaça de espionagem cibernética afiliado à China.”
Os alvos principais da campanha incluem órgãos diplomáticos e governamentais europeus, com atividades confirmadas observadas contra entidades na Hungria, Bélgica, Sérvia, Itália e no Holanda.
O uso do malware PlugX, também conhecido como Sogu ou Korplug, é um forte indicador da origem do grupo. De acordo com o StrikeReady Labs, “Uma verdade fundamental da segurança da informação, muitas vezes esquecida, é que apenas os agentes de ameaças CN utilizam o conjunto de ferramentas sogu/plugx/korplug para intrusões ao vivo, com raras exceções de equipes vermelhas/pesquisadores brincando com construtores em VT.”Estas mensagens contêm ficheiros.LNK maliciosos disfarçados de documentos legítimos, usando temas como “Agenda_Meeting 26 Sep Bruxelas” ou “Workshop JATEC sobre aquisições de defesa em tempo de guerra”. As iscas são cuidadosamente escolhidas de acordo com a relevância para os alvos, aumentando a probabilidade de sucesso.
Depois que a vítima abre o arquivo malicioso, uma série de comandos é executada secretamente. Um script do PowerShell ofuscado extrai um arquivo tar, que contém os componentes do ataque.
Dentro desse arquivo estão três arquivos críticos: um utilitário de impressora Canon legítimo e assinado digitalmente (cnmpaui.exe), um carregador malicioso (cnmpaui.dll) e uma carga útil criptografada (cnmplog.dat). Uma técnica de carregamento lateral de DLL é então empregada, o que ajuda o malware a escapar da detecção, enganando o aplicativo legítimo da Canon para que carregue a DLL maliciosa.
Em última análise, o ataque implanta o PlugX Remote Access Trojan (RAT), uma ferramenta de espionagem poderosa e modular usada por atores chineses para mais de uma década. Ele estabelece acesso persistente, permitindo que invasores exfiltrem documentos confidenciais, monitorem comunicações, registrem pressionamentos de teclas e executem comandos adicionais.
A evidência de desenvolvimento ativo é clara no carregador do malware, que o Arctic Wolf rastreia como CanonStager.
Os pesquisadores observaram que esse componente diminuiu de aproximadamente 700 KB para 4 KB simplificados entre setembro e outubro de 2025, indicando um refinamento rápido para evitar a detecção. A rápida integração da nova vulnerabilidade destaca a agilidade do grupo.
O Arctic Wolf Labs observou: “Esta campanha demonstra a capacidade do UNC6384 de rápida adoção de vulnerabilidades seis meses após a divulgação pública, engenharia social avançada aproveitando o conhecimento detalhado de calendários diplomáticos e temas de eventos…”
Posição e Conselhos de Mitigação da Microsoft
Sem nenhum patch oficial disponível da Microsoft, as organizações são deixadas para implementar seus próprios defesas. A principal recomendação dos especialistas em segurança é restringir ou bloquear o uso de arquivos.LNK do Windows de fontes externas ou não confiáveis. Essa política pode impedir a execução inicial do código malicioso.
Além disso, os defensores da rede são aconselhados a bloquear conexões com a infraestrutura de comando e controle (C2) identificada nos relatórios de segurança, incluindo domínios como racineupci[.]org e naturadeco[.]net.
A busca proativa de ameaças para os arquivos específicos usados no ataque, como cnmpaui.exe executado a partir de diretórios de perfis de usuário não padrão, também é fundamental para identificar comprometimentos existentes. A campanha destaca os riscos representados por vulnerabilidades não corrigidas e a natureza persistente e evolutiva das ameaças cibernéticas dos estados-nação.
