China-linked UNC6384 wykorzystuje zero-day w Windows (.LNK/CVE-2025-9491) do szpiegowania europejskich dyplomatów

Wprowadzenie do problemu / definicja luki

Arctic Wolf Labs ujawniło kampanię cyberszpiegowską przypisywaną grupie UNC6384 (łączonej w doniesieniach z Mustang Panda), która od września do października 2025 r. celowała w placówki dyplomatyczne w Belgii i na Węgrzech, a także w inne podmioty w Europie. Atakujący wykorzystują niezałataną podatność w skrótach Windows (.LNK) – CVE-2025-9491 – aby dostarczać i uruchamiać zdalnego trojana PlugX metodą DLL side-loading z użyciem podpisanych narzędzi Canona.

W skrócie

• Co się dzieje? Kampania spear-phishingowa z przemyślanymi przynętami (agendy spotkań KE, warsztaty NATO) prowadzi do pobrania złośliwych .LNK, które eksploatują CVE-2025-9491 i finalnie ładują PlugX.
• Dlaczego to działa? Luka maskuje złośliwe argumenty w strukturze COMMAND_LINE_ARGUMENTS pliku skrótu – użytkownik, przeglądając właściwości, nie widzi istotnych danych; Microsoft jak dotąd nie wydał łatki.
• Kto na celowniku? Dyplomacja Belgii, Węgier, a także podmioty w Serbii, Włoszech i Niderlandach.

Kontekst / historia / powiązania

Trend Micro ZDI ujawniło podatność ZDI-CAN-25373 / CVE-2025-9491 18 marca 2025 r., wskazując na szerokie, realne wykorzystanie przez co najmniej 11 grup sponsorowanych przez państwa jeszcze przed publikacją. Microsoft uznał w marcu, że problem „nie spełnia progu” natychmiastowego serwisowania. W efekcie luka pozostaje bez oficjalnej poprawki, mimo że jest aktywnie nadużywana.

Dla szerszego tła: Google Threat Intelligence już w sierpniu 2025 r. przypisał UNC6384 złożoną kampanię wobec dyplomatów w Azji Południowo-Wschodniej (m.in. tematyka posiedzeń Rady UE), co spina się z obecnym „przeniesieniem” zainteresowań do Europy.

Analiza techniczna / szczegóły luki

CVE-2025-9491 (UI misrepresentation, CVSS 7.0) dotyczy sposobu, w jaki Windows prezentuje metadane plików .LNK. Specjalnie „spadkowane” białe znaki w polu COMMAND_LINE_ARGUMENTS powodują, że złośliwa komenda jest niewidoczna w interfejsie, choć wykonuje się po uruchomieniu skrótu. Wymagana jest interakcja użytkownika (otwarcie pliku / odwiedzenie przygotowanej strony), jednak trik utrudnia manualną inspekcję.

U UNC6384 łańcuch obejmuje:

1. E-mail spear-phishing z osadzonym URL,
2. pobranie i uruchomienie .LNK z tematem wydarzeń KE/NATO,
3. wykonanie obfuskowanych poleceń PowerShell,
4. zrzut podpisanego binarium Canon i DLL side-loading,
5. wstrzyknięcie i utrwalenie PlugX (wariant SOGU.SEC). Arctic Wolf opisał również konkretne IOC (nazwy plików, hashe, domeny C2 – m.in. racineupci[.]org, dorareco[.]net).

Praktyczne konsekwencje / ryzyko

• Trwały dostęp i exfiltracja: PlugX zapewnia zdalną kontrolę, keylogging, transfer plików, kradzież poświadczeń – idealne do ciągłej obserwacji procesów dyplomatycznych.
• Skala i tempo adopcji: UNC6384 wdrożyło exploit w ~6 miesięcy po publicznym ujawnieniu, co potwierdza zdolność szybkiej industrializacji TTP.
• Brak łatki wymusza kompensacje na poziomie polityk, kontroli uruchamiania i detekcji zachowań; atak korzysta z zaufania do podpisanych plików (Canon).

Rekomendacje operacyjne / co zrobić teraz

1. Kontrola plików .LNK
   • Ogranicz użycie i wykonywanie .LNK z maili/WWW (zasady AppLocker/WDAC, blokady przez GPO na ścieżkach TEMP/Downloads).
   • Filtrowanie bramek pocztowych: blokuj załączniki/archiwa zawierające .LNK; oznaczaj „agendy/agenda/KE/NATO” jako lures wysokiego ryzyka.
2. Telemetria i detekcja
   • Monitoruj procesy potomne explorer.exe/rundll32.exe/powershell.exe uruchamiane z kontekstu .LNK; sygnatury YARA/EDR na charakterystyczne CanonStager i artefakty PlugX; wzorce DLL sideloading. (IOC i TTP — patrz publikacja Arctic Wolf).
3. Hardening PowerShell i ASR
   • Włącz Constrained Language Mode, Script Block Logging, AMSI; reguły Attack Surface Reduction (blokowanie uruchamiania wscript.exe/cscript.exe i podejrzanych makr/dzieci procesów Office/Explorer).
4. Zaufane aplikacje/podpisane binaria
   • Egzekwuj listy WDAC i Applocker dla podpisanych narzędzi firm trzecich (np. drukarek), aby uniemożliwić sideloading.
5. Segmentacja i zasada najmniejszych uprawnień
   • Oddziel stacje „dyplomatyczne”/VIP, MFA, ograniczenie dostępu do zasobów wrażliwych, Egress filtering do znanych C2. (Domeny/C2 — wg Arctic Wolf).
6. Reakcja i hunting
   • Szukaj archiwów/skrótów o tematyce „European Commission”, „NATO”, „EPC/EU Council” z końcówki Q3–Q4 2025; koreluj z połączeniami do nowych domen C2; przejrzyj właściwości .LNK narzędziami niskopoziomowymi (nie GUI).
7. Komunikacja użytkowników
   • Krótka kampania uświadamiająca: dlaczego .LNK jest ryzykowne, jak bezpiecznie weryfikować zaproszenia/agendy (oddzielny kanał potwierdzeń).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• W przeciwieństwie do częstych kampanii z wykorzystaniem LNK+LNK loaderów w cyberprzestępczości, tutaj kluczowa jest luka UI misrepresentation (CVE-2025-9491), która utrudnia manualną inspekcję i podbija skuteczność spear-phishingu.
• Kampania wpisuje się w dotychczasowy modus operandi UNC6384 (wcześniej ASEAN), ale tematyka przynęt została zaktualizowana na UE/NATO, a loader PlugX/CanonStager został odchudzony i rozwijany w ostatnich miesiącach.

Podsumowanie / kluczowe wnioski

• UNC6384 aktywnie wykorzystuje CVE-2025-9491 (.LNK) przeciwko europejskim dyplomatom, dostarczając PlugX przez DLL side-loading.
• Luka nie ma jeszcze łaty, co wymaga twardych polityk wykonania, EDR i kontroli .LNK.
• Przynęty „KE/NATO” i podpisane binaria Canon zwiększają wiarygodność ataku — edukacja użytkowników + kontrole techniczne są krytyczne.

Źródła / bibliografia

• Arctic Wolf Labs: szczegóły kampanii, TTP/IOC, łańcuch ataku i tematy przynęt. (Arctic Wolf)
• ZDI (Trend Micro): advisory ZDI-25-148 / CVE-2025-9491, opis luki i oś czasu. (zerodayinitiative.com)
• BleepingComputer: potwierdzenie CVE-2025-9491, status patcha i szersze tło wykorzystywania. (BleepingComputer)
• SecurityWeek: podsumowanie ataków w Europie, CVSS oraz stanowisko Microsoftu nt. serwisowania. (SecurityWeek)
• The Record: kontekst geopolityczny i rozszerzenie celów (Serbia, Włochy, Niderlandy). (The Record from Recorded Future)