Një grup hakerash i lidhur me Kinën po përdor një të metë të parregulluar të Windows për të spiunuar diplomatët evropianë. Firmat e sigurisë raportuan se grupi, UNC6384, kishte në shënjestër zyrtarë në Hungari, Belgjikë dhe Serbi gjatë muajve të fundit.
Fushata shfrytëzon një defekt në ditë zero (CVE-2025-9491) në skedarët e shkurtoreve të Windows për të instaluar softuerin spiunues PlugX.
Ky mjet u jep sulmuesve monitorues akses të qartë komunikimi dhe akses të thellë dhe të ndjeshëm ndaj qeverisë për të përmbushur skedarët e ndjeshëm të komunikimit dhe funksionimin e tyre. misioni i spiunazhit kibernetik. Është shqetësuese që Microsoft-i e ka ditur për defektin që nga marsi, por nuk ka lëshuar ende një rregullim sigurie, duke lënë një gamë të gjerë sistemesh në rrezik.
Për muaj të tërë, një defekt kritik në Windows ka ofruar një portë për hakerat e sponsorizuar nga shteti. Dobësia, zyrtarisht e gjurmuar si CVE-2025-9491, është një gabim i keqinterpretimit të ndërfaqes së përdoruesit në mënyrën se si sistemi operativ përpunon skedarët e shkurtoreve të shkurtoreve të keqkuptimit LNK
skedarët e shkurtoreve të mallkuara të LNKta. ekzekutoni kodin arbitrar kur një përdorues thjesht i shikon ato në File Explorer, duke e bërë atë një mjet të fuqishëm për qasjen fillestare pa kërkuar një klikim.
Microsoft u informua për defektin në fillim të vitit 2025. Megjithatë, kompania përcaktoi se”nuk plotëson shiritin për servisim të menjëhershëm,” duke e lënë dobësinë të pa korrigjuar.
Ky vendim ka pasur pasoja të rëndësishme. Sipas studiuesve të sigurisë, e meta nuk është një shfrytëzim i veçantë. Të paktën 11 grupe të veçanta hakerimi të sponsorizuara nga shteti e kanë përdorur atë në mënyrë aktive që nga marsi i vitit 2025 për të vendosur një sërë ngarkesash malware, duke e bërë atë një mjet të keqpërdorur gjerësisht në arsenalin kibernetik të nivelit shtetëror.
UNC6384: Një fushatë kërkimore e spiunazhit të mbështetur nga shteti kinez Pushtet e spiunazhit të mbështetur nga shteti Kinez. Laboratorët kanë të detajuar një fushatë të sofistikuar duke shfrytëzuar këtë defekt të saktë, duke ia atribuar atë të njohur si një Kërcënim NC3-affiliated.
Ky grup, i gjurmuar gjerësisht edhe si Mustang Panda, ka një histori të shënjestrimit të subjekteve diplomatike dhe qeveritare. Historikisht, fokusi i saj ka qenë në Azinë Juglindore, duke e bërë këtë fushatë të re një zgjerim të konsiderueshëm të shënjestrimit të saj gjeografik.
Raporti i firmës thotë,”Arctic Wolf Labs vlerëson me besim të lartë se kjo fushatë i atribuohet UNC6384, një aktor kinez i lidhur me spiunazhin kibernetik, aktori i kërcënimit të spiunazhit kibernetik të lidhur me Kinën, aktorët e spiunazhit kibernetik dhe objektivat e qeverisë evropiane.
“. aktivitet i konfirmuar është vërejtur kundër subjekteve në Hungari, Belgjikë, Serbi, Itali dhe Holandë.
Përdorimi i malware PlugX, i njohur gjithashtu si Sogu ose Korplug, është një tregues i fortë i origjinës së grupit. Sipas StrikeReady Labs,”Një e vërtetë thelbësore infosec, shpesh e anashkaluar, është se vetëm aktorët e kërcënimit CN përdorin grupin e veglave sogu/plugx/korplug për ndërhyrje të drejtpërdrejta, me përjashtime të rralla të ekipeve/studiuesve të kuq që luajnë me ndërtuesit në VT.”
Workmail: Fromtash. Spyware
Emailet spearphishing inicojnë sulmin, dërguar direkt personelit diplomatik. Këto mesazhe përmbajnë skedarë me qëllim të keq.LNK të maskuar si dokumente legjitime, duke përdorur tema si”Agenda_Meeting 26 Sep Brussels”ose”Punëtoria JATEC mbi prokurimin e mbrojtjes gjatë luftës”. Joshjet zgjidhen me kujdes për lidhjen me objektivat, duke rritur gjasat për sukses.
Pasi viktima hap skedarin keqdashës, një sërë komandash ekzekutohen fshehurazi. Një skrip i turbullt PowerShell nxjerr një arkiv tar, i cili përmban komponentët e sulmit.
Brenda këtij arkivi gjenden tre skedarë kritikë: një mjet i ligjshëm, i nënshkruar në mënyrë dixhitale për printerin Canon (cnmpaui.exe), një ngarkues me qëllim të keq (cnmpaui.dll) dhe një ngarkesë e koduar.dat. Më pas përdoret një teknikë e ngarkimit anësor të DLL, e cila ndihmon softuerin të shmangë zbulimin duke mashtruar aplikacionin legjitim të Canon për të ngarkuar DLL-në me qëllim të keq.
Në fund të fundit, sulmi vendos Report. (RAT), një mjet i fuqishëm dhe modular spiunazhi i përdorur nga aktorët kinezë për më shumë se një dekadë. Ai vendos akses të vazhdueshëm, duke i lejuar sulmuesit të eksplorojnë dokumente të ndjeshme, të monitorojnë komunikimet, të regjistrojnë shtypjet e tastave dhe të ekzekutojnë komanda të tjera.
Dëshmia e zhvillimit aktiv është e qartë në ngarkuesin e malware, të cilin Arctic Wolf e gjurmon si CanonStager.
Studiuesit vëzhguan se ky komponent u tkurr përafërsisht nga shtatori 700K deri në B4 përafërsisht nga tetori në B4. 2025, që tregon përsosje të shpejtë për të shmangur zbulimin. Integrimi i shpejtë i cenueshmërisë së re thekson shkathtësinë e grupit.
Arctic Wolf Labs vuri në dukje,”Kjo fushatë demonstron aftësinë e UNC6384 për miratimin e shpejtë të cenueshmërisë brenda gjashtë muajve nga zbulimi publik, inxhinieri sociale e avancuar duke përdorur njohuri të hollësishme të kalendarëve diplomatikë
Microsoft dhe temave të ngjarjeve <3"Microsoft. Këshilla për zbutjen
Ky grup, i gjurmuar gjerësisht edhe si Mustang Panda, ka një histori të shënjestrimit të subjekteve diplomatike dhe qeveritare. Historikisht, fokusi i saj ka qenë në Azinë Juglindore, duke e bërë këtë fushatë të re një zgjerim të konsiderueshëm të shënjestrimit të saj gjeografik.
Raporti i firmës thotë,”Arctic Wolf Labs vlerëson me besim të lartë se kjo fushatë i atribuohet UNC6384, një aktor kinez i lidhur me spiunazhin kibernetik, aktori i kërcënimit të spiunazhit kibernetik të lidhur me Kinën, aktorët e spiunazhit kibernetik dhe objektivat e qeverisë evropiane.
“. aktivitet i konfirmuar është vërejtur kundër subjekteve në Hungari, Belgjikë, Serbi, Itali dhe Holandë.
Përdorimi i malware PlugX, i njohur gjithashtu si Sogu ose Korplug, është një tregues i fortë i origjinës së grupit. Sipas StrikeReady Labs,”Një e vërtetë thelbësore infosec, shpesh e anashkaluar, është se vetëm aktorët e kërcënimit CN përdorin grupin e veglave sogu/plugx/korplug për ndërhyrje të drejtpërdrejta, me përjashtime të rralla të ekipeve/studiuesve të kuq që luajnë me ndërtuesit në VT.”
Workmail: Fromtash. Spyware
Emailet spearphishing inicojnë sulmin, dërguar direkt personelit diplomatik. Këto mesazhe përmbajnë skedarë me qëllim të keq.LNK të maskuar si dokumente legjitime, duke përdorur tema si”Agenda_Meeting 26 Sep Brussels”ose”Punëtoria JATEC mbi prokurimin e mbrojtjes gjatë luftës”. Joshjet zgjidhen me kujdes për lidhjen me objektivat, duke rritur gjasat për sukses.
Pasi viktima hap skedarin keqdashës, një sërë komandash ekzekutohen fshehurazi. Një skrip i turbullt PowerShell nxjerr një arkiv tar, i cili përmban komponentët e sulmit.
Brenda këtij arkivi gjenden tre skedarë kritikë: një mjet i ligjshëm, i nënshkruar në mënyrë dixhitale për printerin Canon (cnmpaui.exe), një ngarkues me qëllim të keq (cnmpaui.dll) dhe një ngarkesë e koduar.dat. Më pas përdoret një teknikë e ngarkimit anësor të DLL, e cila ndihmon softuerin të shmangë zbulimin duke mashtruar aplikacionin legjitim të Canon për të ngarkuar DLL-në me qëllim të keq.
Në fund të fundit, sulmi vendos Report. (RAT), një mjet i fuqishëm dhe modular spiunazhi i përdorur nga aktorët kinezë për më shumë se një dekadë. Ai vendos akses të vazhdueshëm, duke i lejuar sulmuesit të eksplorojnë dokumente të ndjeshme, të monitorojnë komunikimet, të regjistrojnë shtypjet e tastave dhe të ekzekutojnë komanda të tjera.
Dëshmia e zhvillimit aktiv është e qartë në ngarkuesin e malware, të cilin Arctic Wolf e gjurmon si CanonStager.
Studiuesit vëzhguan se ky komponent u tkurr përafërsisht nga shtatori 700K deri në B4 përafërsisht nga tetori në B4. 2025, që tregon përsosje të shpejtë për të shmangur zbulimin. Integrimi i shpejtë i cenueshmërisë së re thekson shkathtësinë e grupit.
Arctic Wolf Labs vuri në dukje,”Kjo fushatë demonstron aftësinë e UNC6384 për miratimin e shpejtë të cenueshmërisë brenda gjashtë muajve nga zbulimi publik, inxhinieri sociale e avancuar duke përdorur njohuri të hollësishme të kalendarëve diplomatikë
Microsoft dhe temave të ngjarjeve <3"Microsoft. Këshilla për zbutjen
Pa asnjë rregullim zyrtar të disponueshëm nga Microsoft, organizatave u lihet të zbatojnë mbrojtjen e tyre. Rekomandimi kryesor nga ekspertët e sigurisë është të kufizoni ose bllokoni përdorimin e skedarëve Windows.LNK nga burime të pabesueshme ose të jashtme. Një politikë e tillë mund të parandalojë ekzekutimin fillestar të kodit me qëllim të keq.
Përveç kësaj, mbrojtësit e rrjetit këshillohen të bllokojnë lidhjet me infrastrukturën komanduese dhe kontrolluese (C2) të identifikuar në raportet e sigurisë, duke përfshirë domenet si racineupci[.]org dhe naturadeco[.]net.
Skedarët e kërcënimeve proaktive të përdorura për gjuetinë e sulmeve të veçanta c. ekzekutimi nga drejtoritë jo standarde të profileve të përdoruesve-është gjithashtu kritik për identifikimin e kompromiseve ekzistuese. Fushata thekson rreziqet që vijnë nga dobësitë e parregulluara dhe natyra e vazhdueshme dhe në zhvillim e kërcënimeve kibernetike të shteteve-komb.
