Μια ομάδα hacking συνδεδεμένη με την Κίνα χρησιμοποιεί ένα μη επιδιορθωμένο ελάττωμα των Windows για να κατασκοπεύει Ευρωπαίους διπλωμάτες. Οι εταιρείες ασφαλείας ανέφεραν ότι η ομάδα, UNC6384, στόχευσε αξιωματούχους στην Ουγγαρία, το Βέλγιο και τη Σερβία τους τελευταίους μήνες.
Η καμπάνια εκμεταλλεύεται ένα σφάλμα μηδενικής ημέρας (CVE-2025-9491) στα αρχεία συντόμευσης των Windows για να εγκαταστήσει λογισμικό κατασκοπείας PlugX.
Αυτό το εργαλείο παρέχει στους επιτιθέμενους επιτιθέμενους σαφή πρόσβαση σε ευαίσθητα αρχεία επικοινωνίας και βαθιά πρόσβαση στους επιτιθέμενους επιτιθέμενους για την παρακολούθηση της κυβέρνησης σε αρχεία συντόμευσης των Windows. αποστολή κυβερνοκατασκοπείας. Ανησυχητικά, η Microsoft γνωρίζει το ελάττωμα από τον Μάρτιο, αλλά δεν έχει ακόμη κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα ασφαλείας, αφήνοντας ένα ευρύ φάσμα συστημάτων σε κίνδυνο.
παρακολουθείται επίσημα ως CVE-2025-9491, είναι ένα ελάττωμα εσφαλμένης αναπαράστασης διεπαφής χρήστη στον τρόπο με τον οποίο το λειτουργικό σύστημα επεξεργάζεται τα αρχεία συντόμευσης του.LNKtacker
Η Microsoft ενημερώθηκε για το ελάττωμα στις αρχές του 2025. Ωστόσο, η εταιρεία καθόρισε ότι”δεν πληροί τα όρια για άμεση εξυπηρέτηση,” αφήνοντας το θέμα ευπάθειας χωρίς επιδιόρθωση.
Αυτή η απόφαση είχε σημαντικές συνέπειες. Σύμφωνα με ερευνητές ασφαλείας, το ελάττωμα δεν είναι μια εξειδικευμένη εκμετάλλευση. Τουλάχιστον 11 ξεχωριστές ομάδες χάκερ που χρηματοδοτούνται από το κράτος το χρησιμοποιούν ενεργά από τον Μάρτιο του 2025 για να αναπτύξουν μια ποικιλία ωφέλιμων φορτίων κακόβουλου λογισμικού, καθιστώντας το ένα εργαλείο που χρησιμοποιείται ευρέως στο κρατικό οπλοστάσιο στον κυβερνοχώρο.
UNC6384: A Chinese State-Backed Espionage Campaignity p. Τα εργαστήρια έχουν αναλυτικά μια εξελιγμένη καμπάνια αξιοποιώντας αυτό ακριβώς το ελάττωμα, αποδίδοντάς το ως UNC3-actor σε μια απειλή.
Αυτή η ομάδα, η οποία επίσης παρακολουθείται ευρέως ως Mustang Panda, έχει ιστορικό στόχευσης διπλωματικών και κυβερνητικών φορέων. Ιστορικά, η εστίασή της ήταν στη Νοτιοανατολική Ασία, καθιστώντας αυτή τη νέα καμπάνια σημαντική επέκταση της γεωγραφικής της στόχευσης.
Η έκθεση της εταιρείας αναφέρει,”Η Arctic Wolf Labs αξιολογεί με μεγάλη βεβαιότητα ότι αυτή η εκστρατεία αποδίδεται στο UNC6384, έναν κινέζικο συνδεδεμένο με κυβερνοκατασκοπεία παράγοντα απειλών στον κυβερνοχώρο. έχει παρατηρηθεί επιβεβαιωμένη δραστηριότητα εναντίον οντοτήτων στην Ουγγαρία, το Βέλγιο, τη Σερβία, την Ιταλία και την Ολλανδία.
Η χρήση του κακόβουλου λογισμικού PlugX, γνωστό και ως Sogu ή Korplug, αποτελεί ισχυρή ένδειξη της προέλευσης της ομάδας. Σύμφωνα με το StrikeReady Labs,”Μια βασική αλήθεια infosec, που συχνά παραβλέπεται, είναι ότι μόνο οι παράγοντες απειλών CN χρησιμοποιούν το σύνολο εργαλείων sogu/plugx/korplug για ζωντανές εισβολές, με σπάνιες εξαιρέσεις των κόκκινων ομάδων/ερευνητών που παίζουν με οικοδόμους στο VT.”
Works to the Attash Λογισμικό κατασκοπείας
Τα μηνύματα ηλεκτρονικού ψαρέματος (spearphishing) ξεκινούν την επίθεση, τα οποία αποστέλλονται απευθείας στο διπλωματικό προσωπικό. Αυτά τα μηνύματα περιέχουν κακόβουλα αρχεία.LNK που έχουν μεταμφιεστεί ως νόμιμα έγγραφα, χρησιμοποιώντας θέματα όπως”Agenda_Meeting 26 Sep Brussels”ή”workshop JATEC για τις αμυντικές προμήθειες εν καιρώ πολέμου”. Τα θέλγητρα επιλέγονται προσεκτικά για συνάφεια με τους στόχους, αυξάνοντας την πιθανότητα επιτυχίας.
Μόλις το θύμα ανοίξει το κακόβουλο αρχείο, μια σειρά από εντολές εκτελούνται κρυφά. Μια ασαφής δέσμη ενεργειών PowerShell εξάγει ένα αρχείο tar, το οποίο περιέχει τα στοιχεία επίθεσης.
Μέσα σε αυτό το αρχείο βρίσκονται τρία κρίσιμα αρχεία: ένα νόμιμο, ψηφιακά υπογεγραμμένο βοηθητικό πρόγραμμα εκτυπωτή Canon (cnmpaui.exe), ένα κακόβουλο πρόγραμμα φόρτωσης (cnmpaui.dll) και ένα κρυπτογραφημένο payload.dat (κρυπτογραφημένο payload.dat). Στη συνέχεια χρησιμοποιείται μια τεχνική πλευρικής φόρτωσης DLL, η οποία βοηθά το κακόβουλο λογισμικό να αποφύγει τον εντοπισμό εξαπατώντας τη νόμιμη εφαρμογή της Canon για να φορτώσει το κακόβουλο DLL.
Τελικά, η επίθεση αναπτύσσει το (RAT), ένα ισχυρό και αρθρωτό εργαλείο κατασκοπείας που χρησιμοποιείται από Κινέζους ηθοποιούς για πάνω από μια δεκαετία. Καθιερώνει μόνιμη πρόσβαση, επιτρέποντας στους επιτιθέμενους να εκμεταλλεύονται ευαίσθητα έγγραφα, να παρακολουθούν τις επικοινωνίες, να καταγράφουν πατήματα πλήκτρων και να εκτελούν περαιτέρω εντολές.
Τα στοιχεία ενεργούς ανάπτυξης είναι ξεκάθαρα στο πρόγραμμα φόρτωσης του κακόβουλου λογισμικού, το οποίο ο Arctic Wolf παρακολουθεί ως CanonStager.
Οι ερευνητές παρατήρησαν ότι αυτό το στοιχείο συρρικνώθηκε από τον Οκτώβριο έως τον Οκτώβριο από τον Οκτώβριο έως το B40KB περίπου. 2025, υποδεικνύοντας ταχεία βελτίωση για αποφυγή ανίχνευσης. Η ταχεία ενσωμάτωση της νέας ευπάθειας υπογραμμίζει την ευελιξία της ομάδας.
Η Arctic Wolf Labs σημείωσε,”Αυτή η καμπάνια καταδεικνύει την ικανότητα του UNC6384 για ταχεία υιοθέτηση ευπάθειας εντός έξι μηνών από τη δημόσια αποκάλυψη, προηγμένη κοινωνική μηχανική αξιοποιώντας λεπτομερείς γνώσεις διπλωματικών ημερολογίων και θεμάτων συμβάντων του St.>Microsoft
“3”Συμβουλές μετριασμού
Αυτή η ομάδα, η οποία επίσης παρακολουθείται ευρέως ως Mustang Panda, έχει ιστορικό στόχευσης διπλωματικών και κυβερνητικών φορέων. Ιστορικά, η εστίασή της ήταν στη Νοτιοανατολική Ασία, καθιστώντας αυτή τη νέα καμπάνια σημαντική επέκταση της γεωγραφικής της στόχευσης.
Η έκθεση της εταιρείας αναφέρει,”Η Arctic Wolf Labs αξιολογεί με μεγάλη βεβαιότητα ότι αυτή η εκστρατεία αποδίδεται στο UNC6384, έναν κινέζικο συνδεδεμένο με κυβερνοκατασκοπεία παράγοντα απειλών στον κυβερνοχώρο. έχει παρατηρηθεί επιβεβαιωμένη δραστηριότητα εναντίον οντοτήτων στην Ουγγαρία, το Βέλγιο, τη Σερβία, την Ιταλία και την Ολλανδία.
Η χρήση του κακόβουλου λογισμικού PlugX, γνωστό και ως Sogu ή Korplug, αποτελεί ισχυρή ένδειξη της προέλευσης της ομάδας. Σύμφωνα με το StrikeReady Labs,”Μια βασική αλήθεια infosec, που συχνά παραβλέπεται, είναι ότι μόνο οι παράγοντες απειλών CN χρησιμοποιούν το σύνολο εργαλείων sogu/plugx/korplug για ζωντανές εισβολές, με σπάνιες εξαιρέσεις των κόκκινων ομάδων/ερευνητών που παίζουν με οικοδόμους στο VT.”
Works to the Attash Λογισμικό κατασκοπείας
Τα μηνύματα ηλεκτρονικού ψαρέματος (spearphishing) ξεκινούν την επίθεση, τα οποία αποστέλλονται απευθείας στο διπλωματικό προσωπικό. Αυτά τα μηνύματα περιέχουν κακόβουλα αρχεία.LNK που έχουν μεταμφιεστεί ως νόμιμα έγγραφα, χρησιμοποιώντας θέματα όπως”Agenda_Meeting 26 Sep Brussels”ή”workshop JATEC για τις αμυντικές προμήθειες εν καιρώ πολέμου”. Τα θέλγητρα επιλέγονται προσεκτικά για συνάφεια με τους στόχους, αυξάνοντας την πιθανότητα επιτυχίας.
Μόλις το θύμα ανοίξει το κακόβουλο αρχείο, μια σειρά από εντολές εκτελούνται κρυφά. Μια ασαφής δέσμη ενεργειών PowerShell εξάγει ένα αρχείο tar, το οποίο περιέχει τα στοιχεία επίθεσης.
Μέσα σε αυτό το αρχείο βρίσκονται τρία κρίσιμα αρχεία: ένα νόμιμο, ψηφιακά υπογεγραμμένο βοηθητικό πρόγραμμα εκτυπωτή Canon (cnmpaui.exe), ένα κακόβουλο πρόγραμμα φόρτωσης (cnmpaui.dll) και ένα κρυπτογραφημένο payload.dat (κρυπτογραφημένο payload.dat). Στη συνέχεια χρησιμοποιείται μια τεχνική πλευρικής φόρτωσης DLL, η οποία βοηθά το κακόβουλο λογισμικό να αποφύγει τον εντοπισμό εξαπατώντας τη νόμιμη εφαρμογή της Canon για να φορτώσει το κακόβουλο DLL.
Τελικά, η επίθεση αναπτύσσει το (RAT), ένα ισχυρό και αρθρωτό εργαλείο κατασκοπείας που χρησιμοποιείται από Κινέζους ηθοποιούς για πάνω από μια δεκαετία. Καθιερώνει μόνιμη πρόσβαση, επιτρέποντας στους επιτιθέμενους να εκμεταλλεύονται ευαίσθητα έγγραφα, να παρακολουθούν τις επικοινωνίες, να καταγράφουν πατήματα πλήκτρων και να εκτελούν περαιτέρω εντολές.
Τα στοιχεία ενεργούς ανάπτυξης είναι ξεκάθαρα στο πρόγραμμα φόρτωσης του κακόβουλου λογισμικού, το οποίο ο Arctic Wolf παρακολουθεί ως CanonStager.
Οι ερευνητές παρατήρησαν ότι αυτό το στοιχείο συρρικνώθηκε από τον Οκτώβριο έως τον Οκτώβριο από τον Οκτώβριο έως το B40KB περίπου. 2025, υποδεικνύοντας ταχεία βελτίωση για αποφυγή ανίχνευσης. Η ταχεία ενσωμάτωση της νέας ευπάθειας υπογραμμίζει την ευελιξία της ομάδας.
Η Arctic Wolf Labs σημείωσε,”Αυτή η καμπάνια καταδεικνύει την ικανότητα του UNC6384 για ταχεία υιοθέτηση ευπάθειας εντός έξι μηνών από τη δημόσια αποκάλυψη, προηγμένη κοινωνική μηχανική αξιοποιώντας λεπτομερείς γνώσεις διπλωματικών ημερολογίων και θεμάτων συμβάντων του St.>Microsoft
“3”Συμβουλές μετριασμού
Χωρίς επίσημη ενημέρωση κώδικα διαθέσιμη από τη Microsoft, οι οργανισμοί αφήνονται να εφαρμόσουν τις δικές τους άμυνες. Η κύρια σύσταση από ειδικούς σε θέματα ασφάλειας είναι να περιορίσετε ή να αποκλείσετε τη χρήση αρχείων Windows.LNK από μη αξιόπιστες ή εξωτερικές πηγές. Μια τέτοια πολιτική μπορεί να αποτρέψει την αρχική εκτέλεση του κακόβουλου κώδικα.
Επιπλέον, συνιστάται στους υπερασπιστές δικτύου να αποκλείουν τις συνδέσεις με την υποδομή εντολών και ελέγχου (C2) που προσδιορίζονται στις αναφορές ασφαλείας, συμπεριλαμβανομένων τομέων όπως το racineupci[.]org και το naturadeco[.]net.
Προληπτικά αρχεία που χρησιμοποιούνται για το κυνήγι της απειλής. η εκτέλεση από μη τυπικούς καταλόγους προφίλ χρήστη—είναι επίσης κρίσιμη για τον εντοπισμό υπαρχόντων παραβιάσεων. Η εκστρατεία υπογραμμίζει τους κινδύνους που ενέχουν οι μη επιδιορθωμένες ευπάθειες και η επίμονη, εξελισσόμενη φύση των απειλών στον κυβερνοχώρο των εθνικών κρατών.
