Un groupe de piratage lié à la Chine exploite un Windows zero-day dans des attaques ciblant des diplomates européens en Hongrie, en Belgique et dans d’autres pays européens.
Selon Arctic Wolf Labs, la chaîne d’attaque commence par des courriels de harponnage qui mènent à la livraison de fichiers LNK malveillants sur le thème des ateliers d’approvisionnement en matière de défense de l’OTAN, des réunions de facilitation des frontières de la Commission européenne et de divers autres événements diplomatiques.
Ces fichiers malveillants sont conçus pour exploiter une vulnérabilité Windows LNK de haute gravité (identifiée comme CVE-2025-9491) pour déployer le malware Plugx remote access trojan (RAT) et gagner en persistance sur les systèmes compromis, leur permettant de surveiller les communications diplomatiques et de voler des données sensibles.
La campagne de cyberespionnage a été attribuée à un groupe de menaces soutenu par l’État chinois, connu sous le nom de UNC6384 (Mustang Panda), connu pour mener des opérations d’espionnage alignées sur les intérêts stratégiques chinois et ciblant des entités diplomatiques à travers l’Asie du Sud-Est.
L’analyse des logiciels malveillants et de l’infrastructure utilisés dans cette campagne par des chercheurs d’Arctic Wolf Labs et de StrikeReady a également révélé que ces attaques ont élargi leur portée ces dernières semaines. Initialement axés sur les entités diplomatiques hongroises et belges, ils ciblent désormais également d’autres organisations européennes, notamment des agences gouvernementales serbes et des entités diplomatiques italiennes et néerlandaises.
« Arctic Wolf Labs évalue avec une grande confiance que cette campagne est attribuable à UNC6384, un acteur de menace de cyberespionnage affilié à la Chine », ont déclaré les chercheurs. « Cette attribution est basée sur de multiples sources de preuves convergentes, y compris l’outillage des logiciels malveillants, les procédures tactiques, l’alignement des cibles et les chevauchements d’infrastructure avec les opérations UNC6384 précédemment documentées. »
Fortement exploité dans les attaques
La vulnérabilité zero-day utilisée dans cette campagne permet aux attaquants d’exécuter du code arbitraire à distance sur des systèmes Windows ciblés. Cependant, l’interaction de l’utilisateur est nécessaire pour une exploitation réussie, car elle implique d’inciter les victimes potentielles à visiter une page malveillante ou à ouvrir un fichier malveillant.
CVE-2025-9491 existe dans la manipulation de .Fichiers LNK, qui permettent aux attaquants d’exploiter la façon dont Windows affiche les fichiers de raccourci pour échapper à la détection et exécuter du code sur des appareils vulnérables à l’insu de l’utilisateur. Les acteurs de la menace exploitent cette faille en cachant des arguments de ligne de commande malveillants à l’intérieur .LNK raccourcis les fichiers vers la structure COMMAND_LINE_ARGUMENTS en utilisant des espaces blancs rembourrés.
En mars 2025, les analystes des menaces de Trend Micro ont découvert que CVE-2025-9491 était déjà largement exploité par 11 groupes parrainés par l’État et gangs de cybercriminalité, notamment Evil Corp, APT43 (également connu sous le nom de Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni et d’autres.
»Diverses charges utiles et chargeurs de logiciels malveillants tels que Ursnif, Gh0st RAT et Trickbot ont été suivis dans ces campagnes, les plates-formes MAAS (malware-as-a-service) compliquant le paysage des menaces », a déclaré Trend Micro à l’époque.
Alors que Microsoft a déclaré à Breachtrace en mars qu’il « envisagerait de remédier » à cette faille zero-day, même si elle « ne répond pas à la barre pour une maintenance immédiate », il n’a pas encore publié de mises à jour de sécurité pour corriger cette vulnérabilité Windows fortement exploitée.
Comme il n’y a pas de correctif officiel CVE-2025-9491 pour bloquer les attaques en cours, il est conseillé aux défenseurs du réseau de restreindre ou de bloquer l’utilisation de Windows .LNK enregistre et bloque les connexions de l’infrastructure C2 identifiée par Arctic Wolf Labs.