- Mustang Panda utilizó CVE-2025-9491 para atacar a diplomáticos europeos mediante phishing y archivos .LNK maliciosos.
- La falla de Windows Shell Link implementa PlugX RAT para acceso persistente y extracción de datos
- Cientos de muestras vinculadas al Día Cero han sido vinculadas a campañas de espionaje chinas de larga duración desde al menos 2017.
Los actores de amenazas patrocinados por el Estado chino están explotando una vulnerabilidad de día cero de Windows para atacar a diplomáticos en toda Europa, advierten investigadores de seguridad.
Los investigadores de seguridad Arctic Wolf Labs dijeron recientemente que han visto a un actor-estado-nación conocido como Mustang Panda (UNC6384) enviando correos electrónicos maliciosos a diplomáticos en Hungría, Bélgica, Serbia, Italia y los Países Bajos.
Irónicamente, entre las víctimas se encuentran Hungría y Serbia, dos países que tienen fuertes vínculos con China y son considerados aliados y socios de China en muchas cosas, aunque en agosto de 2025 se reveló que China estaba espiando a otro aliado importante: Rusia.
Abuso de archivos .LNK
Los investigadores revelaron que los correos electrónicos de phishing fueron objeto de talleres de adquisiciones de defensa de la OTAN, reuniones de facilitación de fronteras de la Comisión Europea y otros eventos diplomáticos similares.
Contiene un archivo .LNK malicioso que se creó explotando CVE-2025-9491 para reemplazar un troyano de acceso remoto (RAT) llamado PlugX. Esta RAT brinda a sus operadores acceso constante al sistema comprometido, así como la capacidad de escuchar las comunicaciones, eliminar archivos y más.
El error se debe a la forma en que Windows maneja los archivos de acceso directo y se describe como un problema de expresión errónea de la interfaz de usuario en el mecanismo de enlace del shell. Esto permite que un archivo .LNK diseñado oculte la línea de comando original para que se ejecute un comando malicioso diferente cuando el usuario ejecuta o revisa el acceso directo.
Dado que la extracción requiere la interacción del usuario, el error recibe una puntuación de gravedad relativamente baja de 7,8/10 (alta). Aún así, los investigadores encontraron cientos (quizás incluso miles) de muestras de .LNK, vinculando la falla con campañas de espionaje de larga duración, con algunos ejemplos que se remontan a 2017.
«Arctic Wolf Lab evalúa con gran confianza que esta campaña es atribuible a UNC6384, un actor de amenazas de ciberespionaje vinculado a China», dijeron los investigadores. dijeron los investigadores.
«Esta atribución se basa en múltiples líneas de evidencia convergentes que incluyen herramientas de malware, procedimientos tácticos, configuraciones de objetivos e infraestructura expuesta a operaciones UNC6384 previamente documentadas».
a través de Computadora que suena
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y Agréguenos como recurso preferido Para recibir noticias, reseñas y opiniones de nuestros expertos en sus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok Reciba noticias, reseñas, videos en la bandeja de entrada y actualizaciones periódicas de nuestra parte WhatsApp también
