Un grupo de piratas informáticos vinculado a China está utilizando una falla de Windows sin parchear para espiar a los diplomáticos europeos. Las empresas de seguridad informaron que el grupo, UNC6384, apuntó a funcionarios en Hungría, Bélgica y Serbia en los últimos meses.
La campaña explota un error de día cero (CVE-2025-9491) en los archivos de acceso directo de Windows para instalar el software de espionaje PlugX.
Esta herramienta brinda a los atacantes un acceso profundo para robar archivos confidenciales y monitorear las comunicaciones gubernamentales, cumpliendo una clara misión de ciberespionaje. Lo preocupante es que Microsoft conoce la falla desde marzo, pero aún no ha lanzado un parche de seguridad, lo que deja una amplia gama de sistemas en riesgo.
Una falla de Windows sin parches se convierte en un arma
Durante meses, una falla crítica en Windows ha proporcionado una puerta de entrada para los piratas informáticos patrocinados por el estado. La vulnerabilidad, rastreada oficialmente como CVE-2025-9491, es una falla de tergiversación de la interfaz de usuario en la forma en que el sistema operativo procesa los archivos de acceso directo.LNK.
Los atacantes pueden crear atajos maliciosos que ejecutan código arbitrario cuando un usuario simplemente los ve en el Explorador de archivos. lo que la convierte en una potente herramienta para el acceso inicial sin necesidad de hacer un clic.
Microsoft fue informado de la falla a principios de 2025. Sin embargo, la compañía determinó que “no cumple con el estándar para servicio inmediato”, dejando la vulnerabilidad sin parchear.
Esta decisión ha tenido consecuencias importantes. Según los investigadores de seguridad, la falla no es un exploit de nicho. Al menos 11 grupos distintos de piratería patrocinados por el estado lo han estado utilizando activamente desde marzo de 2025 para implementar una variedad de cargas útiles de malware, lo que lo convierte en una herramienta de la que se abusa ampliamente en el ciberarsenal a nivel estatal.
UNC6384: una campaña de espionaje respaldada por el estado chino
Los investigadores de seguridad de Arctic Wolf Labs han detalló una campaña sofisticada que aprovecha exactamente esta falla, atribuyéndola a un actor de amenazas afiliado a China conocido como UNC6384.
Este grupo, también ampliamente rastreado como Mustang Panda, tiene un historial de atacar a entidades diplomáticas y gubernamentales. Históricamente, su atención se ha centrado en el sudeste asiático, lo que hace que esta nueva campaña sea una expansión significativa de su orientación geográfica.
El informe de la empresa afirma:”Arctic Wolf Labs evalúa con gran confianza que esta campaña es atribuible a UNC6384, un actor de amenaza de ciberespionaje afiliado a China”.
Los objetivos principales de la campaña incluyen organismos diplomáticos y gubernamentales europeos, y se ha observado actividad confirmada contra entidades en Hungría, Bélgica, Serbia, Italia y el Reino Unido. Países Bajos.
El uso del malware PlugX, también conocido como Sogu o Korplug, es un fuerte indicador del origen del grupo. Según StrikeReady Labs,”Una verdad central de seguridad de la información, que a menudo se pasa por alto, es que solo los actores de amenazas CN aprovechan el conjunto de herramientas sogu/plugx/korplug para intrusiones en vivo, con raras excepciones de equipos rojos/investigadores que juegan con los constructores en VT”.
Cómo funciona el ataque: del correo electrónico de phishing al software espía
Los correos electrónicos de phishing inician el ataque y se envían directamente al personal diplomático. Estos mensajes contienen archivos.LNK maliciosos disfrazados de documentos legítimos, utilizando temas como “Agenda_Meeting 26 Sep Bruselas”o “Taller JATEC sobre adquisiciones de defensa en tiempos de guerra”. Los señuelos se eligen cuidadosamente según su relevancia para los objetivos, lo que aumenta la probabilidad de éxito.
Una vez que la víctima abre el archivo malicioso, se ejecuta una serie de comandos de forma encubierta. Un script de PowerShell ofuscado extrae un archivo tar, que contiene los componentes del ataque.
Dentro de este archivo se encuentran tres archivos críticos: una utilidad de impresora Canon legítima y firmada digitalmente (cnmpaui.exe), un cargador malicioso (cnmpaui.dll) y una carga útil cifrada (cnmplog.dat). Luego se emplea una técnica de carga lateral de DLL, que ayuda al malware a evadir la detección engañando a la aplicación legítima de Canon para que cargue la DLL maliciosa.
En última instancia, el ataque implementa el Troyano de acceso remoto PlugX (RAT), una poderosa herramienta de espionaje modular utilizada por Actores chinos durante más de una década. Establece un acceso persistente, lo que permite a los atacantes filtrar documentos confidenciales, monitorear las comunicaciones, registrar pulsaciones de teclas y ejecutar más comandos.
La evidencia de desarrollo activo es clara en el cargador del malware, que Arctic Wolf rastrea como CanonStager.
Los investigadores observaron que este componente se redujo de aproximadamente 700 KB a 4 KB simplificados entre septiembre y octubre de 2025, lo que indica un rápido refinamiento para evadir la detección. La rápida integración de la nueva vulnerabilidad resalta la agilidad del grupo.
Arctic Wolf Labs señaló:”Esta campaña demuestra la capacidad de UNC6384 para la rápida adopción de vulnerabilidades dentro de los seis meses posteriores a la divulgación pública, la ingeniería social avanzada que aprovecha el conocimiento detallado de los calendarios diplomáticos y los temas de eventos…”
Consejos de postura y mitigación de Microsoft
Sin un parche oficial disponible de Microsoft, las organizaciones deben implementar sus propios defensas. La principal recomendación de los expertos en seguridad es restringir o bloquear el uso de archivos.LNK de Windows de fuentes externas o que no sean de confianza. Dicha política puede impedir la ejecución inicial del código malicioso.
Además, se recomienda a los defensores de la red que bloqueen las conexiones a la infraestructura de comando y control (C2) identificada en los informes de seguridad, incluidos dominios como racineupci[.]org y naturadeco[.]net.
La búsqueda proactiva de amenazas para los archivos específicos utilizados en el ataque, como cnmpaui.exe que se ejecuta desde directorios de perfiles de usuario no estándar, también es fundamental para identificar los archivos existentes. compromisos. La campaña destaca los riesgos que plantean las vulnerabilidades sin parches y la naturaleza persistente y cambiante de las ciberamenazas de los estados-nación.
