El actor de ciberespionaje UNC6384, vinculado a China, ha estado llevando a cabo una serie de ataques entre septiembre y octubre de 2025. La operación explota la vulnerabilidad CVE-2025-9491 en los accesos directos de Windows (archivos .LNK) para comprometer entidades diplomáticas de Europa, incluyendo misiones en Hungría, Bélgica, Italia, Países Bajos y agencias gubernamentales en Serbia.
Explotación .LNK: Espionaje con PlugX
El ataque utiliza un vector de engaño simple (archivos .LNK) para instalar un backdoor cómodo (PlugX), con el objetivo de robar inteligencia diplomática.
Cadena de Infección
- Spear Phishing Dirigido: El ataque inicia con correos de Spear Phishing que contienen una URL. Esta URL descarga un archivo .LNK disfrazado con temáticas de alto perfil (ej., reuniones de la Comisión Europea o talleres de la OTAN).
- Explotación CVE-2025-9491: El acceso directo (.LNK) desencadena la explotación de la vulnerabilidad CVE-2025-9491 (CVSS 7.0).
- PlugX y Sideloading : La carga útil instala el conocido troyano de acceso remoto (RAT ) PlugX ( Korplug o SOGU) mediante una técnica de carga lateral de DLL. Componentes como “CanonStager.dll” han sido detectados.
- Control Total: El malware habilita control remoto completo: ejecución de comandos, registro de teclas, subida/descarga de archivos y persistencia mediante la modificación del registro de Windows.
Relevancia Estratégica
- Objetivo de Inteligencia: El objetivo son diplomáticos y organismos gubernamentales, lo que confirma que se trata de espionaje dirigido con impacto estratégico en la inteligencia europea.
- Reducción de Loader : El actor reduce el tamaño del loader de$approx$700 KB a$approx$4 KB, indicando esfuerzos activos de minimización para evadir la detección.
- Camuflaje avanzado: La combinación de .LNK y la descarga de utilidades legítimas (ej., Canon Printer Assistant ) camufla la actividad como software legítimo, eludiendo muchos controles de seguridad.
- Actor Persistente: El uso de herramientas históricas de espionaje chino ( PlugX ) y la rápida explotación de vulnerabilidades recientes sugieren que esta es una operación persistente y bien financiada.
Recomendaciones
Control de Ejecución en Punto Final
- Parcheo y SAC: Asegúrese de que todo el software de seguridad esté actualizado. Microsoft indica que la función Smart App Control (SAC) de Windows tiene detección para este vector; verifique que esté activo.
- Bloqueo de .LNK: Bloquear la ejecución de archivos .LNK desde ubicaciones no aprobadas y restringir el proceso de carga lateral de DLL mediante políticas de control de dispositivos y privilegios mínimos.
- Monitoreo de PlugX: Monitorizar la actividad de procesos que cargan DLL desconocidas, especialmente bajo temas de “CanonStager” o “PlugX”.
Formación y Segmentación
- Concientización Específica: Formar al personal para que identifique correos con temática diplomática falsa y archivos descargables inesperados que no estaban previstos. Nunca asumir que un enlace de una “reunión” es legítimo sin verificación.
- Segmentación Estricta: Implementar segmentación de red estricta entre estaciones de trabajo de alto valor (diplomáticos, administración) y la red general.
- Monitoreo de Persistencia: Establecer alertas para accesos remotos inusuales, keydown logs sospechosos y modificaciones no autorizadas al Registro de Windows que busquen persistencia.
- Revisión de Descargas: Revisar los eventos de instalación de .LNK y correlacionarlos con descargas inesperadas o ejecuciones de PowerShell sin usuario visible.
