Čínská hackerská skupina známá jako UNC6384 byla spojena s novou vlnou útoků využívající zranitelnost Windows. Cílem útoků mezi zářím a říjnem 2025 byly evropské diplomatické a vládní instituce.
Kampaň se zaměřila na diplomatické organizace v Maďarsku, Belgii, Itálii a Nizozemsku, stejně jako na vládní agentury v Srbsku, jak uvedla společnost Arctic Wolf ve své technické zprávě.
„Řetězec útoku začíná spear-phishingovými e-maily obsahujícími vloženou URL adresu, která je první z několika fází vedoucích k doručení škodlivých LNK souborů s tématikou schůzek Evropské komise, workshopů souvisejících s NATO a multilaterálních diplomatických koordinačních akcí,“ uvedla společnost zabývající se kybernetickou bezpečností.
Soubory jsou navrženy tak, aby zneužily zranitelnost ZDI-CAN-25373 ke spuštění vícestupňového útočného řetězce, který vyvrcholí nasazením malwaru PlugX pomocí DLL side-loadingu. PlugX je trojan vzdáleného přístupu, který je také označován jako Destroy RAT, Kaba, Korplug, SOGU a TIGERPLUG.
UNC6384 byla nedávno analyzována skupinou Google Threat Intelligence Group (GTIG), která ji popsala jako cluster s taktickými a nástroji překrývajícími se s hackerskou skupinou známou jako Mustang Panda. Útočníci byli pozorováni při distribuci paměťově rezidentní varianty PlugX nazvané SOGU.SEC.
Nejnovější vlna útoků využívá phishingové e-maily s diplomatickými návnadami, které mají příjemce přimět k otevření falešné přílohy navržené ke zneužití ZDI-CAN-25373. Tato zranitelnost je využívána různými útočníky již od roku 2017 ke spouštění skrytých škodlivých příkazů na počítači oběti. Oficiálně je sledována jako CVE-2025-9491 (CVSS skóre: 7.0).
Existenci této chyby poprvé oznámili bezpečnostní výzkumníci Peter Girnus a Aliakbar Zahravi v březnu 2025. Následná zpráva od HarfangLab zjistila, že nedostatek byl také zneužit kyberšpionážním clusterem známým jako XDSpy k distribuci malwaru založeného na Go s názvem XDigo při útocích zaměřených na vládní subjekty ve východní Evropě v březnu 2025.
LNK soubor je navržen tak, aby spustil PowerShell příkaz k dekódování a extrakci obsahu TAR archivu a současně zobrazil uživateli návnadový PDF dokument. Archiv obsahuje tři soubory: legitimní nástroj tiskárny Canon, škodlivou DLL nazvanou CanonStager, která je načtena pomocí binárního souboru, a šifrovaný PlugX payload („cnmplog.dat“), který je spuštěn DLL.
PlugX také implementuje různé techniky anti-analýzy a kontroly anti-debuggingu, aby odolal pokusům o rozbalení svých vnitřních částí a zůstal pod radarem. Perzistence dosahuje prostřednictvím úpravy registru Windows.
Arctic Wolf uvedla, že artefakty CanonStager nalezené začátkem září a října 2025 zaznamenaly stabilní pokles velikosti z přibližně 700 KB na 4 KB, což naznačuje aktivní vývoj a jeho evoluci v minimální nástroj schopný dosáhnout svých cílů bez zanechání velkých forenzních stop.
Zdroj: thehackernews.com
