Când diplomația se mută pe ecran, amenințările o urmăresc: un grup legat de statul chinez exploatează o vulnerabilitate zero-day în Windows pentru a viza structuri diplomatice din Ungaria, Belgia și alte state europene. Spionajul cibernetic nu este ceva nou, de la interceptări fizice și microfoane ascunse, acum miza este accesul la comunicările digitale ale misiunilor diplomatice și la documente confidențiale. Campania recentă arată cât de rapid s-au adaptat actorii statali: deschizi un shortcut aparent inofensiv și, în realitate, permiți atacatorului să-ți monitorizeze activitatea.
Potrivit cercetătorilor Arctic Wolf Labs, atacul începe cu mesaje spearphishing bine direcționate. Subiectele sunt alese pentru a atrage personalul diplomatic: workshop-uri despre achiziții de apărare NATO, întâlniri privind facilitarea frontierelor organizate de Comisia Europeană și alte evenimente diplomatice. În aceste mesaje sunt atașate sau indicate fișiere LNK malițioase care abuzează o vulnerabilitate serioasă în modul în care Windows procesează scurtăturile. Vulnerabilitatea, identificată ca CVE-2025-9491, permite executarea de cod de la distanță dacă utilizatorul deschide fișierul compromis sau este păcălit să acceseze o pagină periculoasă, deci nu e magie, ci social engineering combinat cu un bug tehnic.
Obiectivul final al atacatorilor este instalarea troianului PlugX, un RAT (remote access trojan) care oferă persistență pe sistemul compromis. Odată prezent, malware-ul poate intercepta comunicări diplomatice, extrage documente sensibile și menține acces pe termen lung. Analizele Arctic Wolf Labs și StrikeReady arată că operațiunea, inițial concentrată pe entități diplomatice din Ungaria și Belgia, s-a extins în ultimele săptămâni către alte organizații europene, inclusiv agenții guvernamentale din Serbia și misiuni din Italia și Olanda.
Atacul a fost atribuit cu grad înalt de încredere grupului UNC6384, cunoscut și ca Mustang Panda, un actor de spionaj cibernetic asociat cu interese strategice chineze și cunoscut pentru țintirea structurilor diplomatice din Asia de Sud-Est. Această atribuire se bazează pe convergența mai multor elemente: instrumentele malware folosite, tacticile, tipologia țintelor și suprapuneri de infrastructură cu operațiuni anterioare documentate ale aceluiași grup.
Vulnerabilitatea exploatată afectează modul în care Windows gestionează fișierele .LNK. Atacatorii ascund argumente de linie de comandă malițioase în câmpul COMMAND_LINE_ARGUMENTS al scurtăturii, folosind spații umplute pentru a camufla payload-ul și a evita detectarea. Practic, Windows afișează un shortcut care pare normal, dar în fundal rulează comenzi ce pot prelua controlul. Metoda e simplă, dar eficientă, în special când ținta este deschiderea unei scurtături primite prin email legat de un eveniment diplomatic, cine nu ar deschide detalii despre un workshop NATO?
Trend Micro semnala încă din martie 2025 că CVE-2025-9491 fusese intens exploatată de cel puțin 11 grupuri sponsorizate de stat și bande de cybercriminalitate, printre care Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni și alții. În campanii asociate au fost folosite și alte payloaduri, Ursnif, Gh0st RAT, Trickbot, iar apariția modelului malware-as-a-service complică cadrul de amenințare, deoarece diferite grupuri pot închiria sau distribui instrumentele necesare atacurilor.
Microsoft a declarat în martie că va “analiza abordarea” acestui zero-day, deși inițial a considerat că nu justifică un patch imediat; până acum nu a fost lansată o corecție oficială care să remedieze această vulnerabilitate intens exploatată. În lipsa unei actualizări oficiale, cercetătorii recomandă restricționarea sau blocarea utilizării fișierelor .LNK în rețele sensibile și blocarea conexiunilor către infrastructura C2 (command-and-control) identificată de Arctic Wolf Labs.
CVE-2025-9491 rămâne un exemplu de cum detalii tehnice mici, un format de scurtătură, pot deveni vectori pentru operațiuni cu impact geopolitic. PlugX, Mustang Panda și țintele din Ungaria, Belgia, Serbia, Italia și Olanda demonstrează că spionajul digital nu mai este doar o problemă regională; e o cale de acces la informații diplomatice critice. Dacă misiunile diplomatice nu pot elimina complet formatele potențial periculoase, pot cel puțin limita vectorii prin politici stricte de gestionare a atașamentelor și prin monitorizare activă a traficului către infrastructuri suspecte.
Arctic Wolf Labs și StrikeReady au furnizat nume concrete, UNC6384, PlugX, CVE-2025-9491, și o hartă clară a țărilor vizate, iar Trend Micro a documentat implicarea mai multor actori cunoscuți și a diverselor payloaduri. Aceste informații subliniază necesitatea unui răspuns coordonat: actualizări software rapide, politici interne stricte și schimb de informații între misiuni diplomatice pot reduce riscul. Cum credeți că ar trebui misiunile diplomatice să organizeze răspunsul la aceste campanii?
Fii primul care comentează