0-Day уязвимостта CVE-2025-9491 в Windows остава нерешена, като хакери я използват за атаки срещу дипломати в ЕС.

Целева атака върху европейски дипломати

През септември и октомври 2025 г. китайският хакерски колектив UNC6384 таргетира дипломати в Белгия, Унгария и други страни членки на ЕС. Те експлоатират 0-дневна уязвимост в Windows (CVE-2025-9491), позволяваща отдалечено изпълнение на произволен код.

Механизъм на атаката

Според Arctic Wolf Labs, кампанията започва със spearphishing имейли, съдържащи линкове към зловредни .LNK файлове, свързани със срещи на Европейската комисия, работни групи на НАТО и мултилатерални дипломатически събития.

• Имейлът води към фалшива Microsoft login страница.
• Потребителят тегли zip файл с .LNK, който инсталира PlugX malware на заден фон.
• Оригинален PDF се показва като разсейване, докато зловредният код краде чувствителни данни.
• Атаката използва обфусцирани PowerShell команди и DLL side-loading на легитимни Canon помощни програми.

Отговорност и свързани групи

Експертите приписват атаката на UNC6384, свързана с китайски хакерски групи като Mustang Panda (TEMP.Hex). Групата специализира в разпространение на PlugX RAT и има установени връзки с предишни операции на UNC6384.

Откриване на уязвимостта и препоръки

Trend Micro откри уязвимостта през март 2025 г. и установи, че вече се използва от Evil Corp, Mustang Panda, SideWinder и APT37. Microsoft засега не е пуснал спешен пач, смятайки, че уязвимостта не е критична.

Препоръки за потребителите:

• Ограничаване на използването на .LNK файлове от съмнителни източници.
• Блокиране на връзки към C2 инфраструктурата, идентифицирана от Arctic Wolf Labs.