Eine mit China verbundene Hackergruppe nutzt eine ungepatchte Windows-Schwachstelle, um europäische Diplomaten auszuspionieren. Sicherheitsfirmen berichteten, dass die Gruppe UNC6384 in den letzten Monaten Beamte in Ungarn, Belgien und Serbien ins Visier genommen habe.
Die Kampagne nutzt einen Zero-Day-Bug (CVE-2025-9491) in Windows-Verknüpfungsdateien aus, um die PlugX-Spionagesoftware zu installieren.
Dieses Tool ermöglicht Angreifern umfassenden Zugriff, um sensible Dateien zu stehlen und Regierungskommunikation zu überwachen und erfüllt damit eine klare Cyberspionagemission. Besorgniserregend ist, dass Microsoft seit März von der Schwachstelle weiß, aber noch keinen Sicherheitspatch veröffentlicht hat, wodurch eine Vielzahl von Systemen gefährdet ist.
Eine ungepatchte Windows-Schwachstelle wird zur Waffe
Seit Monaten bietet ein kritischer Fehler in Windows ein Einfallstor für staatlich geförderte Hacker. Bei der Schwachstelle, offiziell als CVE-2025-9491 verfolgt, handelt es sich um einen Fehler bei der falschen Darstellung der Benutzeroberfläche bei der Verarbeitung von.LNK-Verknüpfungsdateien durch das Betriebssystem.
Angreifer können bösartige Verknüpfungen erstellen, die beliebigen Code ausführen, wenn ein Benutzer einfach zeigt sie im Datei-Explorer an und ist damit ein leistungsstarkes Tool für den ersten Zugriff, ohne dass ein Klick erforderlich ist.
Microsoft wurde Anfang 2025 über den Fehler informiert. Das Unternehmen stellte jedoch fest, dass er „die Messlatte für sofortige Angriffe nicht erfüllt“. Wartung“ Die Schwachstelle bleibt ungepatcht.
Diese Entscheidung hatte erhebliche Konsequenzen. Laut Sicherheitsforschern handelt es sich bei der Schwachstelle nicht um einen Nischen-Exploit. Mindestens 11 verschiedene staatlich geförderte Hackergruppen nutzen es seit März 2025 aktiv, um eine Vielzahl von Malware-Payloads bereitzustellen, was es zu einem häufig missbrauchten Werkzeug im Cyber-Arsenal auf Landesebene macht.
UNC6384: Eine staatlich unterstützte chinesische Spionagekampagne
Sicherheitsforscher von Arctic Wolf Labs haben beschrieb eine ausgeklügelte Kampagne, die genau diesen Fehler ausnutzte und ihn einem mit China verbundenen Bedrohungsakteur namens UNC6384 zuschrieb.
Diese Gruppe wird auch weithin als Mustang verfolgt Panda hat in der Vergangenheit gezielt diplomatische und staatliche Stellen ins Visier genommen. In der Vergangenheit lag der Schwerpunkt auf Südostasien, was diese neue Kampagne zu einer bedeutenden Erweiterung seiner geografischen Ausrichtung macht.
Im Bericht des Unternehmens heißt es: „Arctic Wolf Labs geht mit großer Zuversicht davon aus, dass diese Kampagne UNC6384 zuzuschreiben ist, einem mit China verbundenen Cyberspionage-Bedrohungsakteur.“
Zu den Hauptzielen der Kampagne gehören europäische diplomatische und staatliche Stellen, wobei bestätigte Aktivitäten gegen Einheiten in Ungarn, Belgien, Serbien, Italien und anderen Ländern beobachtet wurden Niederlande.
Der Einsatz der PlugX-Malware, auch bekannt als Sogu oder Korplug, ist ein starker Hinweis auf die Herkunft der Gruppe. Laut StrikeReady Labs ist „eine Kernwahrheit der Informationssicherheit, die oft übersehen wird, dass nur CN-Bedrohungsakteure das sogu/plugx/korplug-Toolset für Live-Einbrüche nutzen, mit seltenen Ausnahmen von Red Teams/Forschern, die mit Buildern auf VT herumspielen.“
Wie der Angriff funktioniert: Von Phishing-E-Mails zu Spyware
Spearphishing-E-Mails initiieren den Angriff und werden direkt an diplomatisches Personal gesendet. Diese Nachrichten enthalten bösartige.LNK-Dateien, die als legitime Dokumente getarnt sind und Themen wie „Agenda_Meeting 26. September Brüssel“ oder „JATEC-Workshop zur Kriegsbeschaffung von Verteidigungsgütern“ verwenden. Die Köder werden sorgfältig nach Relevanz für die Ziele ausgewählt, was die Erfolgswahrscheinlichkeit erhöht.
Sobald das Opfer die Schaddatei öffnet, wird eine Reihe von Befehlen heimlich ausgeführt. Ein verschleiertes PowerShell-Skript extrahiert ein TAR-Archiv, das die Angriffskomponenten enthält.
In diesem Archiv befinden sich drei wichtige Dateien: ein legitimes, digital signiertes Canon-Druckerdienstprogramm (cnmpaui.exe), ein bösartiger Loader (cnmpaui.dll) und eine verschlüsselte Nutzlast (cnmplog.dat). Anschließend wird eine DLL-Sideloading-Technik eingesetzt, die der Malware hilft, der Erkennung zu entgehen, indem sie die legitime Canon-Anwendung dazu verleitet, die schädliche DLL zu laden.
Letztendlich setzt der Angriff den PlugX Remote Access Trojan (RAT) ein, ein leistungsstarkes und modulares Spionagetool, das von chinesischen Akteuren verwendet wird seit über einem Jahrzehnt. Es stellt dauerhaften Zugriff her und ermöglicht es Angreifern, vertrauliche Dokumente zu exfiltrieren, die Kommunikation zu überwachen, Tastenanschläge zu protokollieren und weitere Befehle auszuführen.
Der Loader der Malware, den Arctic Wolf als CanonStager verfolgt, weist eindeutig auf eine aktive Entwicklung hin.
Forscher beobachteten, dass diese Komponente zwischen September und Oktober 2025 von etwa 700 KB auf optimierte 4 KB schrumpfte, was auf eine schnelle Verfeinerung hindeutet, um einer Erkennung zu entgehen. Die schnelle Integration der neuen Schwachstelle unterstreicht die Agilität der Gruppe.
Arctic Wolf Labs bemerkte: „Diese Kampagne demonstriert die Fähigkeit von UNC6384, die Schwachstelle innerhalb von sechs Monaten nach der Veröffentlichung schnell zu übernehmen, und nutzt fortschrittliches Social Engineering, das detaillierte Kenntnisse über diplomatische Kalender und Veranstaltungsthemen nutzt …“
Microsofts Haltung und Schadensbegrenzungsratschläge
Da von Microsoft kein offizieller Patch verfügbar ist, bleiben Organisationen übrig eigene Verteidigungsmaßnahmen umzusetzen. Die wichtigste Empfehlung von Sicherheitsexperten besteht darin, die Verwendung von Windows-LNK-Dateien aus nicht vertrauenswürdigen oder externen Quellen einzuschränken oder zu blockieren. Eine solche Richtlinie kann die anfängliche Ausführung des Schadcodes verhindern.
Darüber hinaus wird Netzwerkverteidigern empfohlen, Verbindungen zur in den Sicherheitsberichten identifizierten Command-and-Control-Infrastruktur (C2) zu blockieren, einschließlich Domänen wie racineupci[.]org und naturadeco[.]net.
Proaktive Bedrohungssuche für die spezifischen Dateien, die im Angriff verwendet werden – wie z. B. cnmpaui.exe, die aus nicht standardmäßigen Benutzerprofilverzeichnissen ausgeführt wird – ist ebenfalls von entscheidender Bedeutung für die Identifizierung bestehende Kompromisse. Die Kampagne hebt die Risiken hervor, die von ungepatchten Schwachstellen ausgehen, und die anhaltende, sich weiterentwickelnde Natur nationalstaatlicher Cyber-Bedrohungen.
