Un gruppo di hacker legato alla Cina sta utilizzando una falla di Windows senza patch per spiare i diplomatici europei. Le società di sicurezza hanno riferito che negli ultimi mesi il gruppo UNC6384 ha preso di mira funzionari in Ungheria, Belgio e Serbia.
La campagna sfrutta un bug zero-day (CVE-2025-9491) nei file di collegamento di Windows per installare il software di spionaggio PlugX.
Questo strumento offre agli aggressori un accesso approfondito per rubare file sensibili e monitorare le comunicazioni governative, adempiendo a una chiara missione di spionaggio informatico. Ciò che è preoccupante è che Microsoft è a conoscenza della falla da marzo ma non ha ancora rilasciato una patch di sicurezza, lasciando a rischio un’ampia gamma di sistemi.
Un difetto di Windows senza patch diventa un’arma
Per mesi, una falla critica in Windows ha fornito un gateway per gli hacker sponsorizzati dallo stato. La vulnerabilità, ufficialmente tracciata come CVE-2025-9491, è un difetto di travisamento dell’interfaccia utente nel modo in cui il sistema operativo elabora i file di collegamento.LNK.
Gli aggressori possono creare collegamenti dannosi che eseguono codice arbitrario quando un utente li visualizza semplicemente in File Explorer, rendendolo un potente strumento per l’accesso iniziale senza richiedere un clic.
Microsoft è stata informata del difetto all’inizio del 2025. Tuttavia, la società ha stabilito che”non soddisfa i requisiti per l’assistenza immediata”, lasciando la vulnerabilità senza patch.
Questa decisione ha avuto conseguenze significative. Secondo i ricercatori sulla sicurezza, la falla non è un exploit di nicchia. Almeno 11 distinti gruppi di hacker sponsorizzati dallo stato lo hanno utilizzato attivamente dal marzo 2025 per distribuire una varietà di payload di malware, rendendolo uno strumento ampiamente abusato nell’arsenale informatico a livello statale.
UNC6384: A Chinese State-Backed Espionage Campaign
I ricercatori di sicurezza dell’Arctic Wolf Labs hanno ha dettagliato una campagna sofisticata che sfrutta proprio questo difetto, attribuendolo a un attore di minacce affiliato alla Cina noto come UNC6384.
Questo gruppo, ampiamente noto anche come Mustang Panda, ha una storia di prendere di mira entità diplomatiche e governative. Storicamente, l’attenzione si è concentrata sul Sud-Est asiatico, rendendo questa nuova campagna un’espansione significativa del suo targeting geografico.
Il rapporto dell’azienda afferma:”Arctic Wolf Labs valuta con grande sicurezza che questa campagna è attribuibile a UNC6384, un attore di minacce di spionaggio informatico affiliato alla Cina.”
Gli obiettivi primari della campagna includono corpi diplomatici e governativi europei, con attività confermata che è stata osservata contro entità in Ungheria, Belgio, Serbia, Italia e negli Stati Uniti. Paesi Bassi.
L’uso del malware PlugX, noto anche come Sogu o Korplug, è un forte indicatore dell’origine del gruppo. Secondo StrikeReady Labs,”Una verità fondamentale sulla sicurezza informatica, spesso trascurata, è che solo gli autori delle minacce CN sfruttano il set di strumenti sogu/plugx/korplug per intrusioni in tempo reale, con rare eccezioni di red team/ricercatori che giocano con i costruttori su VT.”
Come funziona l’attacco: dalle e-mail di phishing allo spyware
Le e-mail di spearphishing avviano l’attacco, inviato direttamente al personale diplomatico. Questi messaggi contengono file.LNK dannosi mascherati da documenti legittimi, utilizzando temi come”Agenda_Meeting 26 Sep Bruxelles”o”Workshop JATEC sugli appalti per la difesa in tempo di guerra”. Le esche vengono scelte con cura in base alla pertinenza agli obiettivi, aumentando le probabilità di successo.
Una volta che la vittima apre il file dannoso, una serie di comandi vengono eseguiti di nascosto. Uno script PowerShell offuscato estrae un archivio tar, che contiene i componenti dell’attacco.
All’interno di questo archivio si trovano tre file critici: un’utilità di stampa Canon legittima e firmata digitalmente (cnmpaui.exe), un caricatore dannoso (cnmpaui.dll) e un payload crittografato (cnmplog.dat). Viene quindi utilizzata una tecnica di caricamento laterale della DLL, che aiuta il malware a eludere il rilevamento inducendo l’applicazione Canon legittima a caricare la DLL dannosa.
Infine, l’attacco utilizza il PlugX Remote Access Trojan (RAT), uno strumento di spionaggio potente e modulare utilizzato dai cinesi attori da oltre un decennio. Stabilisce un accesso persistente, consentendo agli aggressori di esfiltrare documenti sensibili, monitorare le comunicazioni, registrare le sequenze di tasti ed eseguire ulteriori comandi.
La prova di uno sviluppo attivo è chiara nel caricatore del malware, che Arctic Wolf traccia come CanonStager.
I ricercatori hanno osservato che questo componente si è ridotto da circa 700 KB a 4 KB semplificati tra settembre e ottobre 2025, indicando un rapido perfezionamento per eludere il rilevamento. La rapida integrazione della nuova vulnerabilità evidenzia l’agilità del gruppo.
Arctic Wolf Labs ha osservato:”Questa campagna dimostra la capacità di UNC6384 di adottare rapidamente la vulnerabilità entro sei mesi dalla divulgazione pubblica, di ingegneria sociale avanzata che sfrutta la conoscenza dettagliata dei calendari diplomatici e dei temi degli eventi…”
Consigli sulla posizione e sulla mitigazione di Microsoft
Senza una patch ufficiale disponibile da Microsoft, le organizzazioni sono lasciate a implementare le proprie difese. La raccomandazione principale degli esperti di sicurezza è limitare o bloccare l’uso dei file Windows.LNK da fonti non attendibili o esterne. Una policy di questo tipo può impedire l’esecuzione iniziale del codice dannoso.
Inoltre, si consiglia ai difensori della rete di bloccare le connessioni all’infrastruttura di comando e controllo (C2) identificata nei rapporti sulla sicurezza, inclusi domini come racineupci[.]org e naturadeco[.]net.
Anche la ricerca proattiva delle minacce per i file specifici utilizzati nell’attacco, come cnmpaui.exe in esecuzione da directory di profili utente non standard, è fondamentale anche per identificare quelli esistenti. compromessi. La campagna evidenzia i rischi posti dalle vulnerabilità senza patch e la natura persistente e in evoluzione delle minacce informatiche a livello nazionale.
