O grupo de ciberespionagem UNC6384, associado à China, conduziu uma série de ataques entre setembro e outubro de 2025 explorando uma vulnerabilidade não corrigida em arquivos de atalho do Windows (CVE-2025-9491). As investidas miraram representações diplomáticas na Hungria, Bélgica, Itália e Holanda, além de órgãos governamentais na Sérvia.
De acordo com relatório técnico da Arctic Wolf, a cadeia de ataque começa com e-mails de spear phishing que contêm um link embutido. Ao clicar, a vítima é levada a vários estágios que resultam no download de arquivos LNK maliciosos, disfarçados como documentos sobre reuniões da Comissão Europeia, workshops da OTAN e eventos de coordenação diplomática.
Exploração da falha e implantação do PlugX
Os arquivos LNK aproveitam a falha CVE-2025-9491 – identificada inicialmente como ZDI-CAN-25373 – para acionar um processo em múltiplos estágios que culmina na instalação do PlugX, trojan de acesso remoto também conhecido como Destroy RAT, Kaba, Korplug, SOGU ou TIGERPLUG. A técnica emprega DLL side-loading para mascarar o carregamento do malware.
Durante o ataque, o atalho executa um comando PowerShell que descompacta um arquivo TAR, exibe um PDF de fachada e extrai três componentes:
- um utilitário legítimo da Canon;
- uma DLL maliciosa apelidada de CanonStager;
- o payload PlugX criptografado (cnmplog.dat).
O PlugX oferece recursos de acesso remoto, execução de comandos, keylogging, transferência de arquivos, persistência via registro do Windows e reconhecimento extensivo do sistema. Seu design modular permite adicionar plug-ins conforme a necessidade dos operadores, enquanto rotinas anti-análise e anti-depuração dificultam a detecção.
Evolução das ferramentas e táticas
Segundo a Arctic Wolf, o tamanho do CanonStager caiu de cerca de 700 KB para apenas 4 KB entre o início de setembro e outubro, sinalizando refinamentos para reduzir vestígios forenses. Em outra variação, o UNC6384 usou um arquivo HTA para carregar um script JavaScript externo e baixar os artefatos maliciosos de um subdomínio do CloudFront.
Imagem: Internet
Contexto da vulnerabilidade
A falha em atalhos do Windows vem sendo explorada por diversos atores desde 2017. Pesquisadores Peter Girnus e Aliakbar Zahravi relataram o problema em março de 2025; no mesmo mês, o grupo XDSpy usou a brecha para distribuir o malware XDigo contra alvos governamentais no Leste Europeu. A Microsoft afirma que o Microsoft Defender e o recurso Smart App Control contam com detecções para bloquear essas tentativas.
Investigadores observam que o foco em entidades europeias envolvidas em cooperação de defesa e coordenação de políticas atende a interesses estratégicos de inteligência do governo chinês.
Com informações de The Hacker News
