Se dice que un actor de amenazas vinculado a China conocido como UNC6384 es responsable de nuevos ataques dirigidos a organizaciones diplomáticas y gubernamentales en Europa al explotar vulnerabilidades de accesos directos de Windows sin parches entre septiembre y octubre de 2025.
Arctic Wolf dijo en un informe técnico publicado el jueves que la operación no sólo tenía como objetivo instituciones gubernamentales en Serbia, sino también instituciones diplomáticas en Hungría, Bélgica, Italia y Países Bajos.
«La cadena de ataque comienza con un correo electrónico de phishing con una URL incrustada y es la primera de varias etapas que conducen a la entrega de archivos LNK maliciosos relacionados con reuniones de la Comisión Europea, talleres relacionados con la OTAN y eventos de coordinación diplomática multilateral», dijo la firma de ciberseguridad.
Estos archivos están diseñados para explotar ZDI-CAN-25373 y desencadenar una cadena de ataque de varios pasos que, en última instancia, conduce a la implementación del malware PlugX mediante la descarga de archivos DLL. PlugX es un caballo de Troya de acceso remoto también conocido como Destroy RAT, Kaba, Korplug, SOGU y TIGERPLUG.
UNC6384 fue objeto de un análisis reciente realizado por Google Threat Intelligence Group (GTIG), que lo describió como un clúster con tácticas y herramientas superpuestas con el grupo de hackers conocido como Mustang Panda. Se ha observado que el atacante distribuye una variante de PlugX residente en memoria llamada SOGU.SEC.
La última ola de ataques utiliza correos electrónicos de phishing con incentivos diplomáticos para atraer a los destinatarios a abrir archivos adjuntos falsos diseñados para explotar la vulnerabilidad ZDI-CAN-25373. La vulnerabilidad ZDI-CAN-25373 ha sido explotada por múltiples atacantes desde 2017 para ejecutar comandos maliciosos ocultos en las máquinas víctimas. Seguimiento oficial como CVE-2025-9491 (puntuación CVSS: 7,0).
La existencia de este error fue reportada por primera vez en marzo de 2025 por los investigadores de seguridad Peter Girnus y Aliakbar Zahravi. Un informe posterior de HarfangLab encontró que la falla fue explotada por un grupo de ciberespionaje conocido como XDSpy para distribuir malware basado en Go llamado XDigo en ataques dirigidos a agencias gubernamentales en Europa del Este en marzo de 2025.
En ese momento, Microsoft le dijo a The Hacker News que Microsoft Defender tiene capacidades de detección para detectar y bloquear esta actividad de amenaza, y Smart App Control proporciona una capa adicional de protección al bloquear archivos maliciosos de Internet.
Específicamente, el archivo LNK está diseñado para ejecutar un comando de PowerShell para decodificar y extraer el contenido del archivo TAR mientras muestra simultáneamente un documento PDF señuelo al usuario. Este archivo contiene tres archivos: una utilidad Canon Printer Assistant legítima, una DLL maliciosa llamada CanonStager que se descarga mediante un binario y una carga útil cifrada de PlugX (‘cnmplog.dat’) iniciada por la DLL.
«El malware proporciona capacidades integrales de acceso remoto, que incluyen ejecución de comandos, registro de teclas, manipulación de carga y descarga de archivos, establecimiento de persistencia y amplias capacidades de reconocimiento del sistema», dijo Arctic Wolf. «La arquitectura modular permite a los operadores ampliar la funcionalidad a través de módulos enchufables adaptados a requisitos operativos específicos».
PlugX también implementa varias técnicas antianálisis y comprobaciones antidepuración para contrarrestar los esfuerzos por descomprimir sus componentes internos y esconderse bajo el radar. La persistencia se logra modificando el registro de Windows.
Arctic Wolf dijo que el tamaño de los artefactos de CanonStager descubiertos a principios de septiembre y octubre de 2025 ha disminuido constantemente de aproximadamente 700 KB a 4 KB, lo que indica un desarrollo activo y una evolución hacia una herramienta minimalista que puede lograr sus objetivos sin dejar mucha huella forense.
Además, en lo que se cree que es un mecanismo mejorado de entrega de malware, a principios de septiembre se descubrió UNC6384 que aprovecha archivos de aplicaciones HTML (HTA) para cargar JavaScript externo, que a su vez recupera cargas útiles maliciosas de subdominios de red en la nube(.).
«Una campaña centrada en las instituciones diplomáticas europeas involucradas en la cooperación en defensa, la coordinación de políticas transfronterizas y los marcos diplomáticos multilaterales es consistente con los requisitos de inteligencia estratégica de China con respecto a la cohesión de la Unión Europea, las iniciativas de defensa y los mecanismos de coordinación de políticas», concluyó Arctic Wolf.
Source link
