En hackergruppe knyttet til Kina bruker en uoppdatert Windows-feil for å spionere på europeiske diplomater. Sikkerhetsfirmaer rapporterte om at gruppen, UNC6384, målrettet tjenestemenn i Ungarn, Belgia og Serbia de siste månedene.
Kampanjen utnytter en null-dagers feil (CVE-2025-9491) i Windows-snarveisfiler for å installere PlugX spionprogramvare.
Dette verktøyet gir angripere dyp tilgang til å stjele sensitive kommunikasjonsfiler og overvåke myndighetenes sensitive data. oppdrag. Bekymringsfullt nok har Microsoft visst om feilen siden mars, men har ennå ikke gitt ut en sikkerhetsoppdatering, noe som gjør at et bredt spekter av systemer er i fare.
Anlaw Fritth2s Windows. Blir et våpen
I flere måneder har en kritisk feil i Windows gitt en inngangsport for statsstøttede hackere. Sårbarheten, offisielt sporet som CVE-2025-9491, er en feilaktig fremstilling av brukergrensesnittet i hvordan operativsystemet behandler.LNK-snarveisfiler som kan utføre en ondsinnet snarvei.
vilkårlig kode når en bruker bare ser dem i filutforsker, noe som gjør det til et potent verktøy for førstegangstilgang uten å kreve et klikk.
Microsoft ble informert om feilen tidlig i 2025. Imidlertid, selskapet slik at sårbarheten ikke er rettet.
Denne avgjørelsen har hatt betydelige konsekvenser. Ifølge sikkerhetsforskere er ikke feilen en nisjeutnyttelse. Minst 11 distinkte statsstøttede hackergrupper har aktivt brukt det siden mars 2025 for å distribuere en rekke skadevarenyttelaster, noe som gjør det til et mye misbrukt verktøy i cyber-arsenalet på statlig nivå.
UNC6384: A Chinese State-Backed Espionage Campaign
Search Lab
Arsenal. detaljerte en sofistikert kampanje som utnyttet denne nøyaktige feilen, og tilskrev den til en kinesisk-tilknyttet trusselgruppe. sporet som Mustang Panda, har en historie med å målrette diplomatiske og statlige enheter. Historisk sett har fokuset vært på Sørøst-Asia, noe som gjør denne nye kampanjen til en betydelig utvidelse av dens geografiske målretting.
I firmaets rapport heter det:”Arctic Wolf Labs vurderer med stor sikkerhet at denne kampanjen kan tilskrives UNC6384, en kinesisk-tilknyttet trusselaktør for cyberspionasje.”
Primære mål for myndighetene og diplomatiske kampanjer inkluderer europeiske myndighetsaktiviteter. har blitt observert mot enheter i Ungarn, Belgia, Serbia, Italia og Nederland.
Bruk av PlugX malware, også kjent som Sogu eller Korplug, er en sterk indikator på gruppens opprinnelse. I følge StrikeReady Labs,”En kjernen infosec-sannhet, ofte oversett, er at bare CN-trusselsaktører utnytter sogu/plugx/korplug-verktøysettet for live-inntrengninger, med sjeldne unntak av røde lag/forskere som leker med utbyggere på VT.”
Hvordan angrepet fungerer fra Spy3ish>
Spearphishing-e-poster starter angrepet, sendt direkte til diplomatisk personell. Disse meldingene inneholder ondsinnede.LNK-filer som er forkledd som legitime dokumenter, med temaer som”Agenda_Meeting 26 Sep Brussels”eller”JATEC workshop on krigstids forsvarsanskaffelser”. Lokk er nøye valgt for relevans for målene, noe som øker sannsynligheten for suksess.
Når offeret åpner den ondsinnede filen, utføres en rekke kommandoer skjult. Et obfuskert PowerShell-skript trekker ut et tar-arkiv, som inneholder angrepskomponentene.
I dette arkivet ligger tre kritiske filer: et legitimt, digitalt signert Canon-skriververktøy (cnmpaui.exe), en ondsinnet laster (cnmpaui.dll) og en kryptert nyttelast (cnmplog.dat). En DLL-sideinnlastingsteknikk blir deretter brukt, som hjelper skadelig programvare med å unngå oppdagelse ved å lure den legitime Canon-applikasjonen til å laste inn den ondsinnede DLL-filen.
Til syvende og sist distribuerer angrepet pluga, spionasjeverktøy brukt av kinesiske skuespillere i over et tiår. Den etablerer vedvarende tilgang, slik at angripere kan eksfiltrere sensitive dokumenter, overvåke kommunikasjon, logge tastetrykk og utføre ytterligere kommandoer.
Bevis på aktiv utvikling er tydelig i skadevarelasteren, som Arctic Wolf sporer som CanonStager.
Forskere observerte at denne komponenten strømlinjeformet fra ca. 4KB til oktober til oktober 2025, noe som indikerer rask foredling for å unngå oppdagelse. Den raske integreringen av den nye sårbarheten fremhever gruppens smidighet.
Arctic Wolf Labs bemerket:”Denne kampanjen demonstrerer UNC6384s evne til rask innføring av sårbarhet innen seks måneder etter offentlig avsløring, avansert sosial ingeniørkunst som utnytter detaljert kunnskap om diplomatiske kalendere og begivenhetstemaer…”
Advice
StMiecrosoft’>
Uten noen offisiell oppdatering fra Microsoft er det overlatt til organisasjoner å implementere sitt eget forsvar. Den primære anbefalingen fra sikkerhetseksperter er å begrense eller blokkere bruken av Windows.LNK-filer fra ikke-klarerte eller eksterne kilder. En slik policy kan forhindre den første kjøringen av den ondsinnede koden.
I tillegg anbefales nettverksforsvarere å blokkere tilkoblinger til kommando-og-kontroll-infrastrukturen (C2) identifisert i sikkerhetsrapportene, inkludert domener som racineupci[.]org og naturadeco[.]net.
Proaktiv trusseljakt for spesifikke filer, f.eks. ikke-standardiserte brukerprofilkataloger – er også avgjørende for å identifisere eksisterende kompromisser. Kampanjen fremhever risikoen forbundet med uopprettede sårbarheter og den vedvarende, utviklende naturen til nasjonalstatlige cybertrusler.
Uten noen offisiell oppdatering fra Microsoft er det overlatt til organisasjoner å implementere sitt eget forsvar. Den primære anbefalingen fra sikkerhetseksperter er å begrense eller blokkere bruken av Windows.LNK-filer fra ikke-klarerte eller eksterne kilder. En slik policy kan forhindre den første kjøringen av den ondsinnede koden.
I tillegg anbefales nettverksforsvarere å blokkere tilkoblinger til kommando-og-kontroll-infrastrukturen (C2) identifisert i sikkerhetsrapportene, inkludert domener som racineupci[.]org og naturadeco[.]net.
Proaktiv trusseljakt for spesifikke filer, f.eks. ikke-standardiserte brukerprofilkataloger – er også avgjørende for å identifisere eksisterende kompromisser. Kampanjen fremhever risikoen forbundet med uopprettede sårbarheter og den vedvarende, utviklende naturen til nasjonalstatlige cybertrusler.
