中国と関係のあるハッカーグループが、パッチが適用されていない Windows の欠陥を利用して、ヨーロッパの外交官をスパイしています。セキュリティ会社の報告によると、このグループ UNC6384 はここ数カ月間、ハンガリー、ベルギー、セルビアの当局者を標的にしていました。
このキャンペーンは、Windows ショートカット ファイルのゼロデイ バグ (CVE-2025-9491) を悪用して、PlugX スパイ ソフトウェアをインストールします。
このツールにより、攻撃者は機密ファイルを盗んだり、政府通信を監視したりするためのディープ アクセスが可能になり、明確なサイバー スパイ活動の任務を遂行できます。憂慮すべきことに、Microsoft は 3 月からこの欠陥を認識していましたが、まだセキュリティ パッチをリリースしておらず、広範囲のシステムが危険にさらされています。
パッチが適用されていない Windows の欠陥は武器になる
数か月間、Windows の重大な欠陥により、国家支援のハッカーの出入り口が提供されてきました。 正式に CVE-2025-9491 として追跡されているこの脆弱性は、オペレーティング システムが.LNK ショートカット ファイルを処理する方法における UI の誤った表現の欠陥です。
攻撃者は、ユーザーがファイルでショートカットを表示するだけで任意のコードを実行する悪意のあるショートカットを作成できます。 Explorer は、クリックを必要とせずに最初にアクセスできる強力なツールです。
Microsoft は 2025 年初めにこの欠陥について知らされました。しかし、同社は「即時サービスの基準を満たしていない」と判断し、脆弱性を放置しました。
この決定は重大な結果をもたらしました。セキュリティ研究者によると、この欠陥はニッチなエクスプロイトではありません。 2025 年 3 月以来、少なくとも 11 の異なる国家支援のハッカー グループがさまざまなマルウェア ペイロードを展開するためにこれを積極的に使用しており、国家レベルのサイバー兵器庫で広く悪用されているツールとなっています。
UNC6384: 中国国家支援のスパイ活動
Arctic Wolf Labs のセキュリティ研究者は、まさにこの欠陥を悪用した洗練されたキャンペーンについて詳しく説明し、UNC6384 として知られる中国関連の攻撃者によるものであると考えています。
このグループは、Mustang Panda としても広く追跡されており、標的を狙った歴史があります。外交機関および政府機関。歴史的に、その焦点は東南アジアにあり、この新しいキャンペーンはその地理的対象範囲を大幅に拡大したものとなっています。
同社の報告書は、「Arctic Wolf Labs は、このキャンペーンが中国関連のサイバースパイ攻撃者である UNC6384 によるものであると高い自信を持って評価している。」と述べています。
このキャンペーンの主なターゲットには、ヨーロッパの外交機関および政府機関が含まれており、ハンガリーの組織に対する活動が確認されていることが確認されています。ベルギー、セルビア、イタリア、オランダ。
Sogu または Korplug としても知られる PlugX マルウェアの使用は、このグループの起源を示す強力な証拠です。 StrikeReady Labs によると、「見落とされがちな情報セキュリティの重要な真実は、ライブ侵入に sogu/plugx/korplug ツールセットを利用するのは CN の脅威アクターだけだということです。レッド チーム/研究者が VT のビルダーをいじっているという稀な例外を除きます。」
攻撃の仕組み: フィッシングメールからスパイウェアまで
スピアフィッシングメールは攻撃を開始し、外交関係者に直接送信されます。これらのメッセージには、「Agenda_Meeting 26 Sep Brussels」や「戦時防衛調達に関する JATEC ワークショップ」などのテーマを使用した、正規の文書を装った悪意のある.LNK ファイルが含まれています。ルアーはターゲットとの関連性を考慮して慎重に選択され、成功の可能性が高まります。
被害者が悪意のあるファイルを開くと、一連のコマンドが秘密裏に実行されます。難読化された PowerShell スクリプトは、攻撃コンポーネントを含む tar アーカイブを抽出します。
このアーカイブ内には、デジタル署名された正規の Canon プリンタ ユーティリティ (cnmpaui.exe)、悪意のあるローダー (cnmpaui.dll)、および暗号化されたペイロード (cnmplog.dat) の 3 つの重要なファイルが存在します。その後、DLL サイドローディング技術が採用され、正規の Canon アプリケーションを騙して悪意のある DLL をロードさせることで、マルウェアが検出を回避できるようになります。
最終的に、この攻撃は、中国人が使用する強力なモジュール式スパイ活動ツールである PlugX リモート アクセス トロイの木馬 (RAT) を展開します。 10年以上俳優として活動。永続的なアクセスを確立し、攻撃者が機密文書の漏洩、通信の監視、キーストロークの記録、さらなるコマンドの実行を可能にします。
活発な開発の証拠は、Arctic Wolf が CanonStager として追跡しているマルウェアのローダーで明らかです。
研究者らは、このコンポーネントが 2025 年 9 月から 10 月の間に約 700 KB から合理化された 4 KB に縮小することを観察しており、検出を回避するための急速な改良が示されています。新しい脆弱性の迅速な統合は、グループの機敏性を強調しています。
Arctic Wolf Labs は、「このキャンペーンは、公開から 6 か月以内に脆弱性を迅速に採用する UNC6384 の能力、外交カレンダーやイベントのテーマに関する詳細な知識を活用した高度なソーシャル エンジニアリングを実証しています…」と述べました。
Microsoft のスタンスと緩和策に関するアドバイス
Microsoft から入手可能な公式パッチがないため、組織は独自の防御を実装する必要があります。セキュリティ専門家からの主な推奨事項は、信頼できないソースまたは外部ソースからの Windows.LNK ファイルの使用を制限またはブロックすることです。このようなポリシーにより、悪意のあるコードの初期実行を防ぐことができます。
さらに、ネットワーク防御者は、racineupci[.]org や naturadeco[.]net などのドメインを含む、セキュリティ レポートで特定されたコマンド アンド コントロール (C2) インフラストラクチャへの接続をブロックすることをお勧めします。
非標準のユーザー プロファイル ディレクトリから実行される cnmpaui.exe など、攻撃に使用された特定のファイルに対するプロアクティブな脅威ハンティングも、特定のために重要です。既存の妥協点。このキャンペーンは、パッチが適用されていない脆弱性によってもたらされるリスクと、国家のサイバー脅威の永続的かつ進化する性質を強調しています。
