กลุ่มแฮ็กที่เชื่อมโยงกับจีนกำลังใช้ข้อบกพร่องของ Windows ที่ไม่ได้รับการติดตั้งเพื่อสอดแนมนักการทูตยุโรป บริษัทรักษาความปลอดภัยรายงานว่ากลุ่ม UNC6384 กำหนดเป้าหมายเจ้าหน้าที่ในฮังการี เบลเยียม และเซอร์เบียในช่วงไม่กี่เดือนที่ผ่านมา
แคมเปญใช้ประโยชน์จากจุดบกพร่องแบบซีโร่เดย์ (CVE-2025-9491) ในไฟล์ทางลัดของ Windows เพื่อติดตั้งซอฟต์แวร์สอดแนม PlugX
เครื่องมือนี้ช่วยให้ผู้โจมตีเข้าถึงเชิงลึกเพื่อขโมยไฟล์ที่ละเอียดอ่อนและตรวจสอบการสื่อสารของรัฐบาล ซึ่งบรรลุภารกิจการจารกรรมทางไซเบอร์ที่ชัดเจน น่าเป็นห่วงที่ Microsoft ทราบถึงข้อบกพร่องดังกล่าวตั้งแต่เดือนมีนาคม แต่ยังไม่ได้ออกแพทช์รักษาความปลอดภัย ส่งผลให้ระบบต่างๆ ตกอยู่ในความเสี่ยง
ข้อบกพร่องของ Windows ที่ไม่ได้รับการปรับปรุงกลายเป็นอาวุธ
ข้อบกพร่องร้ายแรงใน Windows ได้เปิดทางให้แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเป็นเวลาหลายเดือนแล้ว ช่องโหว่นี้ ติดตามอย่างเป็นทางการในชื่อ CVE-2025-9491 ถือเป็นข้อบกพร่องในการบิดเบือนความจริงของ UI ในวิธีที่ระบบปฏิบัติการประมวลผลไฟล์ทางลัด.LNK
ผู้โจมตีสามารถสร้างทางลัดที่เป็นอันตรายซึ่งเรียกใช้โค้ดที่กำหนดเองเมื่อผู้ใช้เพียงแค่ดูทางลัดเหล่านั้น File Explorer ทำให้เป็นเครื่องมือที่ทรงพลังสำหรับการเข้าถึงครั้งแรกโดยไม่ต้องคลิก
Microsoft ได้รับแจ้งถึงข้อบกพร่องดังกล่าวเมื่อต้นปี 2025 อย่างไรก็ตาม บริษัทตัดสินใจว่า”ไม่ตรงตามเกณฑ์สำหรับการให้บริการทันที” ปล่อยให้ ไม่มีช่องโหว่ที่ได้รับการแก้ไข
การตัดสินใจครั้งนี้มีผลกระทบที่สำคัญ ตามที่นักวิจัยด้านความปลอดภัยระบุ ข้อบกพร่องนี้ไม่ใช่การแสวงหาประโยชน์เฉพาะกลุ่ม กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐอย่างน้อย 11 กลุ่มได้ใช้งานกลุ่มแฮ็กนี้ตั้งแต่เดือนมีนาคม 2568 เพื่อปรับใช้เพย์โหลดมัลแวร์ที่หลากหลาย ทำให้กลายเป็นเครื่องมือที่ถูกละเมิดอย่างกว้างขวางในคลังแสงไซเบอร์ระดับรัฐ
UNC6384: แคมเปญจารกรรมที่ได้รับการสนับสนุนจากรัฐจีน
นักวิจัยด้านความปลอดภัยที่ Arctic Wolf Labs ได้ ให้รายละเอียดเกี่ยวกับแคมเปญที่ซับซ้อน โดยใช้ประโยชน์จากข้อบกพร่องนี้ โดยอ้างว่าเป็นภัยคุกคามในเครือของจีนที่รู้จักกันในชื่อ UNC6384
กลุ่มนี้ซึ่งมีการติดตามอย่างกว้างขวางในชื่อ Mustang Panda ได้ ประวัติความเป็นมาของการกำหนดเป้าหมายหน่วยงานทางการทูตและรัฐบาล ในอดีต บริษัทมุ่งเน้นไปที่เอเชียตะวันออกเฉียงใต้ ทำให้แคมเปญใหม่นี้เป็นการขยายการกำหนดเป้าหมายตามภูมิศาสตร์อย่างมีนัยสำคัญ
รายงานของบริษัทระบุว่า “Arctic Wolf Labs ประเมินด้วยความมั่นใจอย่างสูงว่าแคมเปญนี้มีสาเหตุมาจาก UNC6384 ซึ่งเป็นผู้คุกคามจารกรรมทางไซเบอร์ในเครือของจีน”
เป้าหมายหลักสำหรับการรณรงค์ ได้แก่ หน่วยงานทางการทูตและรัฐบาลของยุโรป โดยมีการสังเกตกิจกรรมที่ได้รับการยืนยันต่อหน่วยงานในฮังการี เบลเยียม เซอร์เบีย อิตาลี และเนเธอร์แลนด์
การใช้มัลแวร์ PlugX หรือที่รู้จักในชื่อ Sogu หรือ Korplug ถือเป็นตัวบ่งชี้ที่มาของกลุ่มอย่างชัดเจน จากข้อมูลของ StrikeReady Labs “ความจริงด้านสารสนเทศหลักที่มักถูกมองข้ามก็คือ มีเพียงผู้ดำเนินการภัยคุกคาม CN เท่านั้นที่ใช้ประโยชน์จากชุดเครื่องมือ sogu/plugx/korplug สำหรับการบุกรุกที่เกิดขึ้นจริง โดยมีข้อยกเว้นที่ไม่ค่อยพบนักคือทีมสีแดง/นักวิจัยที่เล่นกับผู้สร้างบน VT”
วิธีการโจมตี: จากอีเมลฟิชชิ่งไปจนถึงสปายแวร์
อีเมลฟิชชิ่งเริ่มต้นการโจมตี โดยส่งโดยตรงไปยังเจ้าหน้าที่ทางการทูต ข้อความเหล่านี้มีไฟล์.LNK ที่เป็นอันตราย ซึ่งปลอมตัวเป็นเอกสารที่ถูกต้องตามกฎหมาย โดยใช้ธีมเช่น”Agenda_Meeting 26 Sep Brussel”หรือ”การประชุมเชิงปฏิบัติการ JATEC เกี่ยวกับการจัดหาการป้องกันในช่วงสงคราม”เหยื่อล่อได้รับการคัดเลือกมาอย่างรอบคอบเพื่อให้เกี่ยวข้องกับเป้าหมาย ซึ่งจะเพิ่มโอกาสที่จะประสบความสำเร็จ
เมื่อเหยื่อเปิดไฟล์ที่เป็นอันตราย ชุดคำสั่งจะถูกดำเนินการอย่างซ่อนเร้น สคริปต์ PowerShell ที่สร้างความสับสนจะแตกไฟล์ tar ซึ่งมีส่วนประกอบการโจมตี
ภายในไฟล์เก็บถาวรนี้มีไฟล์สำคัญสามไฟล์: ยูทิลิตี้เครื่องพิมพ์ Canon ที่ถูกต้องและลงนามแบบดิจิทัล (cnmpaui.exe), ตัวโหลดที่เป็นอันตราย (cnmpaui.dll) และเพย์โหลดที่เข้ารหัส (cnmplog.dat) จากนั้นจึงใช้เทคนิคการโหลด DLL ด้านข้าง ซึ่งช่วยให้มัลแวร์หลบเลี่ยงการตรวจจับโดยหลอกให้แอปพลิเคชัน Canon ที่ถูกต้องโหลด DLL ที่เป็นอันตราย
ในท้ายที่สุด การโจมตีจะใช้ PlugX Remote Access Trojan (RAT) ซึ่งเป็นเครื่องมือจารกรรมแบบโมดูลาร์ที่ทรงพลังซึ่งใช้โดยชาวจีน นักแสดงมากว่าทศวรรษ โดยสร้างการเข้าถึงอย่างต่อเนื่อง ช่วยให้ผู้โจมตีสามารถเจาะเอกสารสำคัญ ตรวจสอบการสื่อสาร บันทึกการกดแป้นพิมพ์ และดำเนินการคำสั่งเพิ่มเติม
หลักฐานของการพัฒนาที่ใช้งานอยู่ชัดเจนในตัวโหลดของมัลแวร์ ซึ่ง Arctic Wolf ติดตามเป็น CanonStager
นักวิจัยสังเกตว่าองค์ประกอบนี้ลดลงจากประมาณ 700KB เหลือ 4KB ที่มีประสิทธิภาพมากขึ้นระหว่างเดือนกันยายนถึงตุลาคม 2025 ซึ่งบ่งชี้ถึงการปรับแต่งอย่างรวดเร็วเพื่อหลบเลี่ยงการตรวจจับ การบูรณาการอย่างรวดเร็วของช่องโหว่ใหม่เน้นย้ำถึงความคล่องตัวของกลุ่ม
Arctic Wolf Labs กล่าวว่า”แคมเปญนี้แสดงให้เห็นถึงความสามารถของ UNC6384 ในการนำช่องโหว่ไปใช้อย่างรวดเร็วภายในหกเดือนของการเปิดเผยต่อสาธารณะ วิศวกรรมสังคมขั้นสูงที่ใช้ประโยชน์จากความรู้โดยละเอียดเกี่ยวกับปฏิทินการทูตและธีมของกิจกรรม…”
คำแนะนำจุดยืนและการบรรเทาผลกระทบจาก Microsoft
โดยไม่มีแพตช์อย่างเป็นทางการจาก Microsoft องค์กรต่าง ๆ ต่างถูกปล่อยให้ใช้การป้องกันของตนเอง คำแนะนำหลักจากผู้เชี่ยวชาญด้านความปลอดภัยคือการจำกัดหรือบล็อกการใช้ไฟล์ Windows.LNK จากแหล่งภายนอกหรือแหล่งที่ไม่น่าเชื่อถือ นโยบายดังกล่าวสามารถป้องกันการดำเนินการโค้ดที่เป็นอันตรายในขั้นต้นได้
นอกจากนี้ ผู้พิทักษ์เครือข่ายควรบล็อกการเชื่อมต่อกับโครงสร้างพื้นฐานคำสั่งและการควบคุม (C2) ที่ระบุในรายงานความปลอดภัย รวมถึงโดเมน เช่น racineupci[.]org และ naturadeco[.]net
การตามล่าหาภัยคุกคามเชิงรุกสำหรับไฟล์เฉพาะที่ใช้ในการโจมตี เช่น cnmpaui.exe ที่ดำเนินการจากไดเร็กทอรีโปรไฟล์ผู้ใช้ที่ไม่ได้มาตรฐาน ก็มีความสำคัญเช่นกัน เพื่อระบุการประนีประนอมที่มีอยู่ แคมเปญดังกล่าวเน้นย้ำถึงความเสี่ยงที่เกิดจากช่องโหว่ที่ไม่ได้รับการติดตั้งและลักษณะภัยคุกคามทางไซเบอร์ของรัฐที่ยังคงมีการพัฒนาอย่างต่อเนื่อง
