Een aan China gelieerde hackgroep gebruikt een niet-gepatchte Windows-fout om Europese diplomaten te bespioneren. Beveiligingsbedrijven meldden dat de groep, UNC6384, zich de afgelopen maanden op functionarissen in Hongarije, België en Servië had gericht.
De campagne maakt gebruik van een zero-day bug (CVE-2025-9491) in Windows-snelkoppelingsbestanden om PlugX-spionagesoftware te installeren.
Deze tool geeft aanvallers diepgaande toegang om gevoelige bestanden te stelen en overheidscommunicatie te monitoren, waarmee een duidelijke cyberspionagemissie wordt vervuld. Verontrustend genoeg is Microsoft al sinds maart op de hoogte van de fout, maar heeft nog geen beveiligingspatch uitgebracht, waardoor een groot aantal systemen gevaar loopt.
Een niet-gepatchte Windows-fout wordt een wapen
Voor Maandenlang heeft een kritieke fout in Windows een toegangspoort geboden aan door de staat gesponsorde hackers. De kwetsbaarheid, officieel bijgehouden als CVE-2025-9491, is een fout in de gebruikersinterface van de manier waarop het besturingssysteem.LNK-snelkoppelingsbestanden verwerkt.
Aanvallers kunnen kwaadaardige snelkoppelingen maken die willekeurige code uitvoeren wanneer een gebruiker deze eenvoudigweg in Bestand bekijkt. Explorer, waardoor het een krachtig hulpmiddel is voor initiële toegang zonder dat er een klik nodig is.
Microsoft werd begin 2025 op de hoogte gebracht van de fout. Het bedrijf bepaalde echter dat het”niet voldoet aan de lat voor onmiddellijke service”, en liet de kwetsbaarheid ongepatcht.
Deze beslissing heeft aanzienlijke gevolgen gehad. Volgens beveiligingsonderzoekers is het lek geen niche-exploit. Minstens 11 verschillende door de staat gesponsorde hackgroepen hebben het sinds maart 2025 actief gebruikt om een verscheidenheid aan malware-payloads in te zetten, waardoor het een veel misbruikt hulpmiddel is in het cyberarsenaal op staatsniveau.
UNC6384: een door de Chinese staat gesteunde spionagecampagne
Veiligheidsonderzoekers bij Arctic Wolf Labs hebben beschreef een geavanceerde campagne die precies deze fout benutte en deze toeschreef aan een aan China gelieerde bedreigingsacteur die bekend staat als UNC6384.
Deze groep, ook algemeen gevolgd als Mustang Panda, heeft een geschiedenis van aanvallen op diplomatieke en overheidsinstanties. Historisch gezien lag de focus op Zuidoost-Azië, waardoor deze nieuwe campagne een aanzienlijke uitbreiding van zijn geografische targeting betekende.
In het rapport van het bedrijf staat:”Arctic Wolf Labs beoordeelt met groot vertrouwen dat deze campagne kan worden toegeschreven aan UNC6384, een aan China gelieerde cyberspionage-dreigingsspeler.”
De primaire doelen van de campagne omvatten Europese diplomatieke en overheidsinstanties, waarbij bevestigde activiteiten zijn waargenomen tegen entiteiten in Hongarije, België, Servië, Italië en Nederland.
Het gebruik van de PlugX-malware, ook wel bekend als Sogu of Korplug, is een sterke indicator van de oorsprong van de groep. Volgens StrikeReady Labs is”een kernwaarheid in de informatiebeveiliging die vaak over het hoofd wordt gezien, dat alleen CN-bedreigingsactoren de sogu/plugx/korplug-toolset gebruiken voor live inbraken, met zeldzame uitzonderingen van rode teams/onderzoekers die met bouwers op VT spelen.”
Hoe de aanval werkt: van phishing-e-mail tot spyware
Spearphishing-e-mails initiëren de aanval, die rechtstreeks naar diplomatiek personeel wordt verzonden. Deze berichten bevatten kwaadaardige.LNK-bestanden, vermomd als legitieme documenten, met thema’s als’Agenda_Meeting 26 Sep Brussels’of’JATEC workshop over defensieaanbestedingen in oorlogstijd’. Lokmiddelen worden zorgvuldig gekozen op relevantie voor de doelen, waardoor de kans op succes groter wordt.
Zodra het slachtoffer het kwaadaardige bestand opent, wordt er heimelijk een reeks opdrachten uitgevoerd. Een versluierd PowerShell-script extraheert een tar-archief dat de aanvalscomponenten bevat.
In dit archief bevinden zich drie kritieke bestanden: een legitiem, digitaal ondertekend Canon-printerhulpprogramma (cnmpaui.exe), een kwaadaardige lader (cnmpaui.dll) en een gecodeerde payload (cnmplog.dat). Vervolgens wordt een DLL side-loading-techniek gebruikt, die de malware helpt detectie te omzeilen door de legitieme Canon-applicatie te misleiden om de kwaadaardige DLL te laden.
Uiteindelijk wordt bij de aanval de PlugX Remote Access Trojan (RAT) ingezet, een krachtige en modulaire spionagetool die al ruim 30 jaar door Chinese actoren wordt gebruikt. een decennium. Het zorgt voor permanente toegang, waardoor aanvallers gevoelige documenten kunnen exfiltreren, communicatie kunnen monitoren, toetsaanslagen kunnen loggen en verdere opdrachten kunnen uitvoeren.
Bewijs van actieve ontwikkeling is duidelijk in de lader van de malware, die Arctic Wolf volgt als CanonStager.
Onderzoekers hebben waargenomen dat dit onderdeel tussen september en oktober 2025 krimpt van ongeveer 700 KB naar een gestroomlijnde 4 KB, wat wijst op een snelle verfijning om detectie te omzeilen. De snelle integratie van de nieuwe kwetsbaarheid benadrukt de wendbaarheid van de groep.
Arctic Wolf Labs merkte op:”Deze campagne demonstreert het vermogen van UNC6384 voor snelle adoptie van kwetsbaarheden binnen zes maanden na openbaarmaking, geavanceerde social engineering die gebruik maakt van gedetailleerde kennis van diplomatieke agenda’s en gebeurtenisthema’s…”
Microsoft’s standpunt en advies over risicobeperking
Omdat er geen officiële patch beschikbaar is van Microsoft, moeten organisaties hun eigen patch implementeren. verdedigingen. De belangrijkste aanbeveling van beveiligingsexperts is om het gebruik van Windows.LNK-bestanden van niet-vertrouwde of externe bronnen te beperken of te blokkeren. Een dergelijk beleid kan de initiële uitvoering van de kwaadaardige code voorkomen.
Bovendien wordt netwerkverdedigers geadviseerd om verbindingen met de command-and-control (C2)-infrastructuur te blokkeren die in de beveiligingsrapporten wordt geïdentificeerd, inclusief domeinen als racineupci[.]org en naturadeco[.]net.
Het proactief opsporen van bedreigingen voor de specifieke bestanden die bij de aanval worden gebruikt, zoals cnmpaui.exe die wordt uitgevoerd vanuit niet-standaard mappen met gebruikersprofielen, is ook van cruciaal belang voor het identificeren bestaande compromissen. De campagne benadrukt de risico’s die voortkomen uit niet-gepatchte kwetsbaarheden en de aanhoudende, evoluerende aard van nationale cyberdreigingen.
