Sebuah kelompok peretas yang terkait dengan Tiongkok menggunakan kelemahan Windows yang belum ditambal untuk memata-matai diplomat Eropa. Perusahaan keamanan melaporkan bahwa kelompok tersebut, UNC6384, menargetkan pejabat di Hongaria, Belgia, dan Serbia dalam beberapa bulan terakhir.
Kampanye ini mengeksploitasi bug zero-day (CVE-2025-9491) di file pintasan Windows untuk menginstal perangkat lunak mata-mata PlugX.
Alat ini memberi penyerang akses mendalam untuk mencuri file sensitif dan memantau komunikasi pemerintah, sehingga memenuhi misi spionase dunia maya yang jelas. Yang mengkhawatirkan, Microsoft telah mengetahui kelemahan ini sejak bulan Maret namun belum merilis patch keamanan, sehingga menyebabkan banyak sistem dalam risiko.
Kekurangan Windows yang Belum Ditambal Menjadi Senjata
Selama berbulan-bulan, hal yang kritis Cacat pada Windows telah menjadi pintu gerbang bagi peretas yang disponsori negara. Kerentanannya, yang secara resmi dilacak sebagai CVE-2025-9491, merupakan kelemahan representasi UI yang salah dalam cara sistem operasi memproses file pintasan.LNK.
Penyerang dapat membuat pintasan berbahaya yang mengeksekusi kode arbitrer saat pengguna melihatnya di File Explorer, sehingga mengakibatkan ini adalah alat yang ampuh untuk akses awal tanpa memerlukan satu klik.
Microsoft diberitahu tentang kelemahan ini pada awal tahun 2025. Namun, perusahaan menetapkannya “tidak memenuhi standar untuk perbaikan segera,” meninggalkan kerentanan belum ditambal.
Keputusan ini memiliki konsekuensi yang signifikan. Menurut peneliti keamanan, kelemahan tersebut bukanlah eksploitasi khusus. Setidaknya 11 kelompok peretas berbeda yang disponsori negara telah secara aktif menggunakannya sejak Maret 2025 untuk menyebarkan berbagai muatan malware, menjadikannya alat yang banyak disalahgunakan di gudang senjata siber tingkat negara bagian.
UNC6384: Kampanye Spionase yang Didukung Negara Tiongkok
Peneliti keamanan di Arctic Wolf Labs telah merinci kampanye canggih yang memanfaatkan kelemahan ini, menghubungkannya dengan aktor ancaman yang berafiliasi dengan Tiongkok yang dikenal sebagai UNC6384.
Kelompok ini, juga banyak dilacak sebagai Mustang Panda, memiliki sejarah menargetkan entitas diplomatik dan pemerintah. Secara historis, fokus kampanye ini adalah di Asia Tenggara, sehingga menjadikan kampanye baru ini sebagai perluasan signifikan dari penargetan geografisnya.
Laporan perusahaan tersebut menyatakan, “Arctic Wolf Labs menilai dengan keyakinan tinggi bahwa kampanye ini disebabkan oleh UNC6384, aktor ancaman spionase dunia maya yang berafiliasi dengan Tiongkok.”
Target utama kampanye ini mencakup badan-badan diplomatik dan pemerintah Eropa, dengan aktivitas yang dikonfirmasi telah diamati terhadap entitas di Hongaria, Belgia, Serbia, Italia, dan Italia. Belanda.
Penggunaan malware PlugX, juga dikenal sebagai Sogu atau Korplug, merupakan indikator kuat asal usul kelompok tersebut. Menurut StrikeReady Labs, “Kebenaran inti infosec, yang sering diabaikan, adalah bahwa hanya pelaku ancaman CN yang memanfaatkan perangkat sogu/plugx/korplug untuk intrusi langsung, dengan pengecualian yang jarang terjadi pada tim merah/peneliti yang bermain-main dengan pembuat di VT.”
Cara Kerja Serangan: Dari Email Phishing ke Spyware
Email spearphishing memulai serangan, dikirim langsung ke personel diplomatik. Pesan-pesan ini berisi file.LNK berbahaya yang disamarkan sebagai dokumen sah, menggunakan tema seperti “Agenda_Meeting 26 Sep Brussels”atau “lokakarya JATEC tentang pengadaan pertahanan masa perang”. Umpan dipilih dengan cermat agar relevan dengan target, sehingga meningkatkan kemungkinan keberhasilan.
Setelah korban membuka file berbahaya, serangkaian perintah dijalankan secara diam-diam. Skrip PowerShell yang dikaburkan mengekstrak arsip tar, yang berisi komponen serangan.
Di dalam arsip ini terdapat tiga file penting: utilitas printer Canon yang sah dan ditandatangani secara digital (cnmpaui.exe), pemuat berbahaya (cnmpaui.dll), dan muatan terenkripsi (cnmplog.dat). Teknik pemuatan samping DLL kemudian digunakan, yang membantu malware menghindari deteksi dengan mengelabui aplikasi Canon yang sah agar memuat DLL berbahaya.
Pada akhirnya, serangan tersebut menyebarkan PlugX Remote Access Trojan (RAT), alat spionase yang kuat dan modular yang digunakan oleh orang Tiongkok aktor selama lebih dari satu dekade. Ini menciptakan akses yang persisten, sehingga penyerang dapat mengambil dokumen sensitif, memantau komunikasi, mencatat penekanan tombol, dan menjalankan perintah lebih lanjut.
Bukti pengembangan aktif terlihat jelas pada pemuat malware, yang dilacak Arctic Wolf sebagai CanonStager.
Para peneliti mengamati komponen ini menyusut dari sekitar 700 KB menjadi 4 KB yang disederhanakan antara bulan September dan Oktober 2025, yang menunjukkan penyempurnaan yang cepat untuk menghindari deteksi. Integrasi yang cepat dari kerentanan baru ini menyoroti kelincahan kelompok tersebut.
Arctic Wolf Labs mencatat, “Kampanye ini menunjukkan kemampuan UNC6384 untuk mengadopsi kerentanan dengan cepat dalam waktu enam bulan setelah pengungkapan publik, rekayasa sosial tingkat lanjut yang memanfaatkan pengetahuan terperinci tentang kalender diplomatik dan tema acara…”
Sikap dan Saran Mitigasi Microsoft
Tanpa tersedia patch resmi dari Microsoft, organisasi harus menerapkan patch mereka sendiri pertahanan. Rekomendasi utama dari pakar keamanan adalah membatasi atau memblokir penggunaan file.LNK Windows dari sumber eksternal atau tidak tepercaya. Kebijakan seperti itu dapat mencegah eksekusi awal kode berbahaya.
Selain itu, pembela jaringan disarankan untuk memblokir koneksi ke infrastruktur perintah-dan-kontrol (C2) yang diidentifikasi dalam laporan keamanan, termasuk domain seperti racineupci[.]org dan naturadeco[.]net.
Perburuan ancaman proaktif untuk file tertentu yang digunakan dalam serangan—seperti cnmpaui.exe yang dijalankan dari direktori profil pengguna non-standar—juga penting untuk mengidentifikasi file yang ada kompromi. Kampanye ini menyoroti risiko yang ditimbulkan oleh kerentanan yang belum diperbaiki dan sifat ancaman cyber negara yang terus-menerus dan terus berkembang.
