Grupa hakerska powiązana z Chinami wykorzystuje niezałataną lukę w systemie Windows do szpiegowania europejskich dyplomatów. Firmy zajmujące się bezpieczeństwem poinformowały, że w ostatnich miesiącach grupa UNC6384 obierała za cel urzędników na Węgrzech, w Belgii i Serbii.
Kampania wykorzystuje błąd dnia zerowego (CVE-2025-9491) w plikach skrótów systemu Windows umożliwiający instalację oprogramowania szpiegującego PlugX.
To narzędzie zapewnia atakującym głęboki dostęp do kradzieży wrażliwych plików i monitorowania komunikacji rządowej, spełniając wyraźną misję cyberszpiegowską. Niepokojące jest to, że Microsoft wiedział o tej luce od marca, ale nie wypuścił jeszcze poprawki zabezpieczeń, co naraża na ryzyko wiele systemów.
Niezałatana luka w systemie Windows staje się problemem Broń
Od miesięcy krytyczna luka w systemie Windows stanowi bramę dla sponsorowanych przez państwo hakerów. Luka oficjalnie identyfikowana jako CVE-2025-9491 to luka w interfejsie użytkownika polegająca na błędnym przedstawianiu sposobu, w jaki system operacyjny przetwarza pliki skrótów.LNK.
Osoby atakujące mogą tworzyć złośliwe skróty, które wykonują dowolny kod, gdy użytkownik po prostu przegląda je w Eksploratorze plików, co czyni go potężnym narzędziem do pierwszego dostępu bez konieczności kliknięcia.
Microsoft został poinformowany o luce na początku 2025 r. Jednak firma stwierdziła, że „nie spełnia ona wymagań dotyczących natychmiastowego serwisowanie”, pozostawiając lukę bez poprawki.
Ta decyzja miała poważne konsekwencje. Według badaczy bezpieczeństwa luka ta nie jest exploitem niszowym. Od marca 2025 r. co najmniej 11 różnych sponsorowanych przez państwo grup hakerskich aktywnie używa go do wdrażania różnych ładunków złośliwego oprogramowania, co czyni go narzędziem powszechnie nadużywanym w cyberarsenale na szczeblu stanowym.
UNC6384: chińska kampania szpiegowska wspierana przez państwo
Badacze bezpieczeństwa w Arctic Wolf Labs opisał szczegółowo wyrafinowaną kampanię wykorzystującą dokładnie tę lukę, przypisując ją powiązanemu z Chinami ugrupowaniu cyberprzestępczemu znanemu jako UNC6384.
Ta grupa również jest szeroko śledzona jak Mustang Panda, ma historię ataków na placówki dyplomatyczne i rządowe. Historycznie rzecz biorąc, jej działalność koncentrowała się na Azji Południowo-Wschodniej, co czyni tę nową kampanię znaczącym rozszerzeniem jej zasięgu geograficznego.
W raporcie firmy stwierdza się: „Arctic Wolf Labs z dużą pewnością ocenia, że tę kampanię można przypisać UNC6384, powiązanemu z Chinami ugrupowaniu cyberprzestępczemu zagrażającemu cyberszpiegostwu”.
Głównymi celami kampanii są europejskie organy dyplomatyczne i rządowe, a potwierdzoną aktywność zaobserwowano przeciwko podmiotom na Węgrzech, w Belgii, Serbia, Włochy i Holandia.
Wykorzystywanie złośliwego oprogramowania PlugX, znanego również jako Sogu lub Korplug, stanowi silny wskaźnik pochodzenia grupy. Według StrikeReady Labs „Podstawową prawdą związaną z bezpieczeństwem informacji, często pomijaną, jest to, że tylko ugrupowania zagrażające CN wykorzystują zestaw narzędzi sogu/plugx/korplug do włamań na żywo, z rzadkimi wyjątkami czerwonych zespołów/badaczy bawiących się programistami na VT”.
Jak działa atak: od wiadomości e-mail typu phishing do oprogramowania szpiegującego
E-maile typu spearphishing inicjują atak i są wysyłane bezpośrednio do personel dyplomatyczny. Wiadomości te zawierają złośliwe pliki.LNK udające legalne dokumenty i wykorzystują tematy takie jak „Agenda_Meeting 26 września Bruksela” lub „Warsztaty JATEC na temat zamówień w dziedzinie obronności w czasie wojny”. Przynęty są starannie dobierane pod kątem dopasowania do celów, co zwiększa prawdopodobieństwo sukcesu.
Gdy ofiara otworzy złośliwy plik, wykonywana jest w ukryciu seria poleceń. Zaciemniony skrypt PowerShell wyodrębnia archiwum tar zawierające komponenty ataku.
W tym archiwum znajdują się trzy krytyczne pliki: legalne, podpisane cyfrowo narzędzie do drukowania firmy Canon (cnmpaui.exe), złośliwy program ładujący (cnmpaui.dll) i zaszyfrowany ładunek (cnmplog.dat). Następnie stosowana jest technika bocznego ładowania bibliotek DLL, która pomaga złośliwemu oprogramowaniu uniknąć wykrycia poprzez oszukanie legalnej aplikacji firmy Canon do załadowania złośliwej biblioteki DLL.
Ostatecznie w ataku wykorzystuje się trojan zdalnego dostępu PlugX (RAT), potężne i modułowe narzędzie szpiegowskie przez chińskich aktorów od ponad dekady. Zapewnia trwały dostęp, umożliwiając atakującym eksfiltrację poufnych dokumentów, monitorowanie komunikacji, rejestrowanie naciśnięć klawiszy i wykonywanie dalszych poleceń.
Dowody aktywnego rozwoju są wyraźnie widoczne w module ładującym złośliwego oprogramowania, który Arctic Wolf śledzi jako CanonStager.
Naukowcy zaobserwowali zmniejszenie rozmiaru tego komponentu z około 700 KB do usprawnionych 4 KB między wrześniem a październikiem 2025 r., co wskazuje na szybkie udoskonalenie w celu uniknięcia wykrycia. Szybka integracja nowej luki podkreśla elastyczność grupy.
Arctic Wolf Labs zauważyło: „Ta kampania demonstruje zdolność UNC6384 do szybkiego przyjęcia luki w zabezpieczeniach w ciągu sześciu miesięcy od publicznego ujawnienia, przy zastosowaniu zaawansowanej inżynierii społecznej wykorzystującej szczegółową wiedzę na temat kalendarzy dyplomatycznych i tematów wydarzeń…”
Porady firmy Microsoft dotyczące stanowiska i łagodzenia skutków
Bez dostępnej oficjalnej łatki firmy Microsoft organizacje muszą wdrożyć własne zabezpieczenia. Podstawowym zaleceniem ekspertów ds. bezpieczeństwa jest ograniczenie lub zablokowanie korzystania z plików.LNK systemu Windows pochodzących z niezaufanych lub zewnętrznych źródeł. Taka polityka może zapobiec początkowemu wykonaniu złośliwego kodu.
Dodatkowo obrońcom sieci zaleca się blokowanie połączeń z infrastrukturą dowodzenia i kontroli (C2) zidentyfikowaną w raportach bezpieczeństwa, w tym z domenami takimi jak rasineupci[.]org i naturadeco[.]net.
Proaktywne poszukiwanie zagrożeń dla konkretnych plików wykorzystanych w ataku — takich jak cnmpaui.exe wykonywany z niestandardowych katalogów profili użytkowników — jest również krytyczne dla identyfikowanie istniejących kompromisów. Kampania podkreśla ryzyko stwarzane przez niezałatane luki w zabezpieczeniach oraz utrzymujący się, ewoluujący charakter zagrożeń cybernetycznych ze strony państw narodowych.
