Een waarschijnlijk Chinese cyberorganisatie misbruikt een zogeheten ‘zeroday’-kwetsbaarheid in Windows om diplomatieke diensten te bespioneren, ook in ons land.
Het gaat om een tot nu toe ongepatchte kwetsbaarheid of zeroday met de naam CVE-2025-9491 of ZDI-CAN-25373 (afhankelijk van de organisatie waar je ze opzoekt). Ze wordt gebruikt door een aan China gelinkte groep om diplomaten in onder meer België en Hongarije te bespioneren.
Volgens beveiliger Arctic Wolf Labs, die de aanval onderzocht, begint hij bij spearphishing e-mails. De aanvallers sturen mails rond onderwerpen als vergaderingen van de Europese Commissie, workshops van de NAVO en multilaterale diplomatieke evenementen. Die mails bevatten een ingebouwde URL en misbruiken een belangrijke bug in de manier waarop Windows met LNK-bestanden omgaat.
Als de recipient op de link klikt, kunnen aanvallers via die kwetsbaarheid in Windows PowerShell commando’s uitvoeren en zo malware installeren. Het proces is lang en ingewikkeld (en wordt in deze analyse uit de doeken gedaan) maar eindigt in het uitrollen van een PlugX trojan die van op afstand beheerd wordt en waardoor de aanvallers kunnen meekijken op de computers van de diplomaten.
Mustang Panda
De onderzoekers linken de operatie aan UNC6384, een waarschijnlijk Chinese groep die ook de naam Mustang Panda meekrijgt. Die groep is vooral actief in Zuid-Oost Azië, waar ze al jarenlang spionage uitvoert voor Chinese geopolitieke belangen. De huidige campagne is begonnen in België en Hongarije, en breidt volgens de onderzoekers ondertussen uit naar andere Europese landen.
Microsoft heeft voorlopig geen patch uitgebracht voor het probleem en lijkt daar ook geen haast van te maken. In maart van dit jaar meldde beveiliger Trend Micro al dat dezelfde kwetsbaarheid werd gebruikt door elf verschillende staatsorganisaties en cyberbendes om campagnes op te zetten en verschillende malwares af te leveren bij hun slachtoffers. Bij die bekendmaking meldde Microsoft aan techsite Bleeping Computer dat de kwetsbaarheid ‘niet ernstig’ genoeg was om er meteen een patch voor uit te brengen. Gezien er niet meteen een oplossing is, krijgen organisaties de raad om voorlopig .LNK-bestanden te blokkeren.