Группа угроз UNC6384, имеющая связь с Китаем, использовала уязвимость Windows LNK для атак на дипломатические и правительственные организации в Европе с сентября по октябрь 2025 года.
Эксплуатация LNK и PlugX UNC6384 в ЕС
Цели и методы атак
Атаки были нацелены на дипломатические учреждения в Венгрии, Бельгии, Италии и Нидерландах, а также на государственные органы в Сербии. Эти действия включали spear-phishing с встроенными URL-адресами, ведущими к вредоносным LNK-файлам с тематикой заседаний Европейской комиссии и других международных мероприятий.
Механизм распространения
Эксплуатация уязвимости ZDI-CAN-25373 (CVSS 7.0) началась с многоступенчатой цепочки, заканчивающейся боковой загрузкой DLL для внедрения PlugX. LNK запускал команду PowerShell для декодирования и извлечения архива TAR, а затем отображал подсказочный PDF.
- LNK-файлы разрабатывались для загрузки команды PowerShell.
- Сторонний ресурс содержал полезную нагрузку PlugX в зашифрованной форме.
- CanonStager, вредоносный DLL, выполнял боковую загрузку, уменьшая размер артефактов до 4 КБ.
Контекст и последствия
Эти действия, совпадающие с запросами стратегической разведки КНР, концентрируются на европейских структурах, связанных с оборонным сотрудничеством и политической координацией. Microsoft утверждает, что Defender и Smart AppControl обеспечивают защиту от подобных угроз.
По данным Google и Arctic Wolf, есть параллели между UNC6384 и группой Mustang Panda, что указывает на широкое использование PlugX для многоцелевых кибершпионских операций.
