Belgijskie i węgierskie podmioty dyplomatyczne celem kampanii szpiegowskiej powiązanej z Chinami (UNC6384)

Wprowadzenie do problemu / definicja luki

Arctic Wolf Labs opisało aktywną kampanię cyber-szpiegowską przypisywaną grupie UNC6384 ukierunkowaną na podmioty dyplomatyczne w Belgii i na Węgrzech (oraz inne cele w Europie). Ataki datowane są na wrzesień–październik 2025 r. i wykorzystują spreparowane skróty Windows (.lnk), które nadużywają podatności ZDI-CAN-25373 – techniki pozwalającej ukryć wykonanie poleceń poprzez manipulację argumentami w plikach LNK. Końcowym ładunkiem jest PlugX (SOGU) – znany trojan zdalnego dostępu często łączony z grupami powiązanymi z ChRL.

W skrócie

• Cele: placówki rządowe i dyplomatyczne w Belgii i na Węgrzech; dodatkowo obserwowano cele w Serbii, Włoszech i Holandii.
• Wejście: spear-phishing z linkiem do wieloetapowego droppera LNK z motywami spotkań KE/NATO.
• Eksploatacja: nadużycie ZDI-CAN-25373 (Windows LNK) do wywołania PowerShell i rozpakowania archiwum TAR; brak oficjalnej poprawki od Microsoft według Trend Micro/ZDI (stan na publikację).
• Payload: PlugX ładowany przez DLL side-loading legalnego narzędzia Canon IJ Printer Assistant (cnmpaui.exe).
• Atrybucja: UNC6384 oceniany jako aktor „PRC-nexus”, z przecięciem TTP/infrastruktury do Mustang Panda.

Kontekst / historia / powiązania

W sierpniu 2025 r. Google Threat Intelligence Group (GTIG) ujawniła wcześniejszą odsłonę kampanii UNC6384 wymierzoną w dyplomatów w Azji Południowo-Wschodniej. Tam atakujący przejmowali captive portal, podszywali się pod „Adobe plugin update” i w końcu dostarczali SOGU/PlugX przy użyciu side-loadingu komponentów Canona (STATICPLUGIN → MSI → CANONSTAGER).

Równocześnie PlugX pozostaje w centrum zainteresowania organów ścigania: 14 stycznia 2025 r. Departament Sprawiedliwości USA ogłosił operację usunięcia tej rodziny malware z ~4 258 komputerów w USA, wiążąc infekcje z Mustang Panda/Twill Typhoon.
The Record podkreśla, że PlugX od lat jest używany przez szereg chińskich grup, a działania DoJ to kontynuacja globalnych wysiłków po wcześniejszych przejęciach infrastruktury C2.

Analiza techniczna / szczegóły luki

Łańcuch ataku (wariant europejski obserwowany przez Arctic Wolf):

1. Spear-phishing z agendami spotkań KE, warsztatów NATO i wydarzeń wielostronnych.
2. Kliknięcie prowadzi do pobrania LNK, który nadużywa ZDI-CAN-25373 – podatności w sposobie obsługi argumentów w LNK (whitespace padding w strukturze COMMAND_LINE_ARGUMENTS).
3. LNK uruchamia PowerShell, który wydobywa i rozpakowuje plik TAR (np. rjnlzlkfe.ta) do katalogu %AppData%\Local\Temp.
4. Następnie wykonywany jest cnmpaui.exe (legalny binarny Canon), który side-loaduje złośliwą cnmpaui.dll i odszyfrowuje ładunek PlugX (np. cnmplog.dat).

ZDI-CAN-25373 (aka ZDI-25-148): Trend Micro/ZDI opisuje wieloletnie i szerokie nadużycia tej słabości przez co najmniej 11 ugrupowań APT (KR/IR/RU/CN). Microsoft – według ZDI – nie wydał poprawki, co wymusza polityki ograniczania LNK i detekcje behawioralne.

PlugX/SOGU: wielofunkcyjny RAT znany od co najmniej 2008 r., zapewniający m.in. keylogging, exfiltrację plików, trwałość i zdalne sterowanie; stale ewoluuje (warianty Korplug/TIGERPLUG/SOGU).

Wybrane wskaźniki (IOC) z kampanii UNC6384 (Arctic Wolf):

• Przykładowe nazwy/hashe:
  Agenda_Meeting 26 Sep Brussels.lnk (SHA-256: 911cccd2…5fca539), cnmpaui.exe (Canon, legit), cnmpaui.dll (loader), cnmplog.dat (zaszyfrowany PlugX), rjnlzlkfe.ta (TAR).
• Domeny C2 m.in.: racineupci[.]org, dorareco[.]net, naturadeco[.]net, cseconline[.]org.

Praktyczne konsekwencje / ryzyko

• Priorytetowe cele wywiadowcze: dokumenty niejawne, stanowiska negocjacyjne, kalendarze i trasy podróży, wgląd w procesy decyzyjne UE/NATO.
• Brak patcha na kluczową technikę (ZDI-CAN-25373) zwiększa ryzyko ponownego wejścia i długotrwałej obecności atakującego.
• Realistyczne wektory obejścia kontroli: dokumenty-wabiki zgodne z realnym kalendarzem wydarzeń, podpisane binaria, TLS/HTTPS i side-loading u wiarygodnych producentów.

Rekomendacje operacyjne / co zrobić teraz

Prewencja i twardnienie:

• Ogranicz/filtruj LNK z nieufnych lokalizacji; rozważ wyłączenie automatycznego rozwijania skrótów w Explorerze (zgodnie z zaleceniami AW/Trend).
• Blokuj domeny C2 z raportu Arctic Wolf; monitoruj ewentualne próby łączności (telemetria proxy/EDR).
• Application Control/allow-listing dla narzędzi producentów (np. cnmpaui.exe) i blokowanie side-loadingu z niestandardowych ścieżek.
• TLS inspection tam, gdzie to możliwe prawnie/organizacyjnie – atakujący używają prawidłowych certyfikatów (Let’s Encrypt).

Wykrywanie i hunting (przykłady):

• Szukaj wywołań cmd.exe/powershell.exe z rodzicem .lnk (reguły/hunty wg Trend Micro).
• Poluj na Canon IJ Printer Assistant uruchamiany z niestandardowych ścieżek (np. %AppData%) i współwystępowanie plików cnmpaui.exe/.dll/.dat.
• Koreluj nietypowe żądania do gstatic → redirect → „plugin update” (artefakty kampanii GTIG/captive portal).

Reakcja i ograniczanie skutków:

• Jeżeli wykryto ślady PlugX/UNC6384: izoluj hosty, zbierz pamięć/artefakty, wymuś rotację poświadczeń, wdróż reguły EDR/YARA dla skojarzonych wskaźników oraz zastosuj segmentację sieci.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• UNC6384 (Europa, 2025): spear-phishing + LNK/ZDI-CAN-25373 → Canon side-loading → PlugX.
• UNC6384 (APAC, 2025 – GTIG): AitM/captive portal hijack → STATICPLUGIN (signed) → MSI → CANONSTAGER → SOGU/PlugX.
• Mustang Panda (operacje 2024/2025): szerokie użycie PlugX; DoJ/FBI przeprowadziły bezprecedensowe oczyszczenie >4,2 tys. hostów z PlugX (USB-borne warianty).

Podsumowanie / kluczowe wnioski

• Kampania UNC6384 pokazuje szybką adopcję świeżo ujawnionych technik (LNK/ZDI-CAN-25373) i wysoki realizm socjotechniki (agendy KE/NATO).
• PlugX nadal pozostaje kluczowym narzędziem chińskich operacji szpiegowskich pomimo głośnych działań organów ścigania; jego ekosystem ewoluuje (od klasycznych backdoorów po warianty USB).
• Brak łatki dla ZDI-CAN-25373 wymusza kompensacje proceduralne i detekcyjne – od blokowania LNK, przez allow-listing, po agresywny hunting TTP.

Źródła / bibliografia

1. The Record: „Diplomatic entities in Belgium and Hungary hacked in China-linked spy campaign”, 30 października 2025 r. (The Record from Recorded Future)
2. Arctic Wolf Labs: „UNC6384 Weaponizes ZDI-CAN-25373…”, 30 października 2025 r. (szczegóły TTP/IOC). (Arctic Wolf)
3. Google Threat Intelligence Group (GTIG): „PRC-Nexus Espionage Campaign Hijacks Web Traffic…”, 25 sierpnia 2025 r. (wariant captive-portal/AitM). (Google Cloud)
4. Trend Micro / ZDI: „ZDI-CAN-25373: Windows Shortcut Exploit Abused as Zero-Day…”, 18 marca 2025 r. (opis luki, brak patcha, hunting). (www.trendmicro.com)
5. US DoJ: „Justice Department and FBI Conduct International Operation to Delete PlugX…”, 14 stycznia 2025 r. (operacja usunięcia PlugX z ~4 258 systemów). (Department of Justice)