Sebuah kelompok peretas yang terkait dengan Tiongkok mengeksploitasi zero-day Windows dalam serangan yang menargetkan diplomat Eropa di Hongaria, Belgia, dan negara-negara Eropa lainnya.
Menurut Arctic Wolf Labs, rantai serangan dimulai dengan email spearphishing yang mengarah pada pengiriman file LNK berbahaya bertema lokakarya pengadaan pertahanan NATO, pertemuan fasilitasi perbatasan Komisi Eropa, dan berbagai acara diplomatik lainnya.
File berbahaya ini dirancang untuk mengeksploitasi kerentanan Windows LNK dengan tingkat keparahan tinggi (dilacak sebagai CVE-2025-9491) untuk menyebarkan malware plugX remote access trojan (RAT) dan mendapatkan persistensi pada sistem yang disusupi, memungkinkan mereka memantau komunikasi diplomatik dan mencuri data sensitif.
Kampanye spionase dunia maya ini dikaitkan dengan kelompok ancaman yang didukung negara Tiongkok yang dilacak sebagai UNC6384 (Mustang Panda), yang dikenal melakukan operasi spionase yang selaras dengan kepentingan strategis Tiongkok dan menargetkan entitas diplomatik di seluruh Asia Tenggara.
Analisis malware dan infrastruktur yang digunakan dalam kampanye ini oleh para peneliti dari Arctic Wolf Labs dan Siap menyerang juga mengungkapkan bahwa serangan-serangan ini telah memperluas cakupannya dalam beberapa minggu terakhir. Meskipun awalnya berfokus pada entitas diplomatik Hongaria dan Belgia, kini mereka juga menargetkan organisasi Eropa lainnya, termasuk lembaga pemerintah Serbia dan entitas diplomatik dari Italia dan Belanda.
“Arctic Wolf Labs menilai dengan keyakinan tinggi bahwa kampanye ini disebabkan oleh UNC6384, aktor ancaman spionase dunia maya yang berafiliasi dengan Tiongkok,” kata para peneliti. “Atribusi ini didasarkan pada beberapa bukti yang menyatu termasuk peralatan malware, prosedur taktis, penyelarasan penargetan, dan infrastruktur yang tumpang tindih dengan operasi UNC6384 yang didokumentasikan sebelumnya.”
Sangat dieksploitasi dalam serangan
Kerentanan zero-day yang digunakan dalam kampanye ini memungkinkan penyerang mengeksekusi kode arbitrer dari jarak jauh pada sistem Windows yang ditargetkan. Namun, interaksi pengguna diperlukan agar eksploitasi berhasil, karena ini melibatkan menipu calon korban agar mengunjungi halaman berbahaya atau membuka file berbahaya.
CVE-2025-9491 ada dalam penanganan file .LNK, yang memungkinkan penyerang mengeksploitasi cara Windows menampilkan file pintasan untuk menghindari deteksi dan mengeksekusi kode pada perangkat yang rentan tanpa sepengetahuan pengguna. Pelaku ancaman mengeksploitasi kelemahan ini dengan menyembunyikan argumen baris perintah berbahaya dalam file pintasan .LNK ke struktur COMMAND_LINE_ARGUMENTS menggunakan spasi putih.
Pada bulan Maret 2025, analis ancaman Trend Micro menemukan bahwa CVE-2025-9491 telah dieksploitasi secara luas oleh 11 kelompok dan geng kejahatan dunia maya yang disponsori negaratermasuk Evil Corp, APT43 (juga dikenal sebagai Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni, dan lain-lain.
”Beragam muatan dan pemuat malware seperti Ursnif, Gh0st RAT, dan Trickbot telah dilacak dalam kampanye ini, dengan platform malware-as-a-service (MaaS) yang memperumit lanskap ancaman,” kata Trend Mikro pada saat itu.
Meskipun Microsoft mengatakan kepada BleepingComputer pada bulan Maret bahwa mereka akan “mempertimbangkan untuk mengatasi” kelemahan zero-day ini, meskipun “tidak memenuhi standar untuk segera diservis,” Microsoft belum merilis pembaruan keamanan untuk menambal kerentanan Windows yang banyak dieksploitasi ini.
Karena tidak ada patch resmi CVE-2025-9491 untuk memblokir serangan yang sedang berlangsung, pembela jaringan disarankan untuk membatasi atau memblokir penggunaan file .LNK Windows dan memblokir koneksi dari infrastruktur C2 yang diidentifikasi oleh Arctic Wolf Labs.
