Um grupo hacker ligado à China está explorando uma vulnerabilidade zero-day no Windows em ataques direcionados a diplomatas europeus na Hungria, Bélgica e outros países do continente.
Segundo o Arctic Wolf Labs, a cadeia de ataque tem início em e-mails de spearphishing que carregam arquivos maliciosos no formato LNK.
Os arquivos têm temas relacionados a workshops sobre compras de defesa da OTAN, reuniões sobre facilitação de fronteiras da Comissão Europeia e outros eventos diplomáticos.
Esses arquivos exploram uma falha crítica no tratamento de arquivos LNK pelo Windows, catalogada como
CVE-2025-9491
, para instalar o malware PlugX, um trojan de acesso remoto (RAT).
A infecção garante persistência nos sistemas comprometidos, permitindo o monitoramento de comunicações diplomáticas e o roubo de dados sensíveis.
A campanha de ciberespionagem foi atribuída ao grupo vinculado ao Estado chinês conhecido como UNC6384, também chamado Mustang Panda.
Essa ameaça é conhecida por realizar operações de espionagem alinhadas aos interesses estratégicos da China, focando em entidades diplomáticas, principalmente no Sudeste Asiático.
Pesquisas do Arctic Wolf Labs e da StrikeReady indicam que o alcance desses ataques aumentou nas últimas semanas.
Inicialmente focados na Hungria e Bélgica, agora envolvem outras organizações europeias, como agências governamentais da Sérvia e entidades diplomáticas da Itália e Holanda.
“Arctic Wolf Labs avalia com alta confiança que essa campanha é atribuída ao UNC6384, ator de ameaça de ciberespionagem afiliado à China”, explicam os pesquisadores.
“Essa atribuição se baseia em múltiplas evidências convergentes, incluindo ferramentas de malware, táticas operacionais, alinhamento dos alvos e sobreposição de infraestrutura previamente documentada em operações do UNC6384.”
A vulnerabilidade zero-day permite a execução remota de código arbitrário em sistemas Windows.
No entanto, para que a exploração funcione, é necessária a interação do usuário, como abrir um arquivo malicioso ou visitar uma página infectada.
O
CVE-2025-9491
está relacionado à forma como o Windows processa arquivos .LNK (atalhos).
A falha permite aos invasores ocultar comandos maliciosos em estruturas COMMAND_LINE_ARGUMENTS dentro desses atalhos, utilizando espaços em branco para evitar detecção.
Assim, o Windows executa o código malicioso sem que o usuário perceba.
Em março de 2025, analistas da Trend Micro identificaram que a vulnerabilidade já era amplamente explorada por 11 grupos patrocinados por governos e gangues cibercriminosas, entre eles Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel e Konni.
“A diversidade de malwares detectados nessas campanhas inclui payloads e loaders como Ursnif, Gh0st RAT e Trickbot, com plataformas de malware-as-a-service (MaaS) tornando o cenário ainda mais complexo”, destacou a Trend Micro na época.
Embora a Microsoft tenha informado em março que “consideraria tratar” essa falha zero-day, mesmo sem qualificá-la para um patch de emergência, a empresa ainda não lançou atualizações para corrigir essa vulnerabilidade amplamente explorada no Windows.
Como não há patch oficial para o
CVE-2025-9491
, especialistas em segurança recomendam que administradores de redes bloqueiem ou restrinjam o uso de arquivos .LNK no Windows e limitem conexões com infraestruturas de comando e controle (C2) identificadas pelo Arctic Wolf Labs, para mitigar os ataques em andamento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...