Een aan China gelieerde dreigingsacteur, bekend als UNC6384 is in verband gebracht met een nieuwe reeks aanvallen waarbij gebruik wordt gemaakt van een niet-gepatchte Windows-snelkoppelingskwetsbaarheid om zich tussen september en oktober 2025 te richten op Europese diplomatieke en overheidsinstanties.
De activiteit was gericht tegen diplomatieke organisaties in Hongarije, België, Italië en Nederland, maar ook tegen overheidsinstanties in Servië, aldus Arctic Wolf in een donderdag gepubliceerd technisch rapport.
“De aanvalsketen begint met spear-phishing-e-mails die een ingebedde URL bevatten die de eerste is van verschillende fasen die leiden tot de levering van kwaadaardige LNK-bestanden met als thema bijeenkomsten van de Europese Commissie, NAVO-gerelateerde workshops en multilaterale diplomatieke coördinatie-evenementen”, aldus het cyberbeveiligingsbedrijf.
De bestanden zijn ontworpen om ZDI-CAN-25373 te misbruiken om een aanvalsketen in meerdere fasen te activeren die culmineert in de inzet van de PlugX-malware met behulp van DLL-side-loading. PlugX is een trojan voor externe toegang die ook wel Destroy RAT, Kaba, Korplug, SOGU en TIGERPLUG wordt genoemd.
UNC6384 was het onderwerp van een recente analyse door Google Threat Intelligence Group (GTIG), die het beschreef als een cluster met tactische en tooling-overlappingen met een hackgroep die bekend staat als Mustang Panda. Er is waargenomen dat de bedreigingsactor een geheugenresidente variant van PlugX aflevert, genaamd SOGU.SEC.
De nieuwste aanvalsgolf maakt gebruik van phishing-e-mails met diplomatieke lokmiddelen om ontvangers te verleiden een nepbijlage te openen die is ontworpen om misbruik te maken van ZDI-CAN-25373, een kwetsbaarheid die al in 2017 door meerdere bedreigingsactoren is gebruikt om verborgen kwaadaardige opdrachten uit te voeren op de machine van een slachtoffer. Het wordt officieel bijgehouden als CVE-2025-9491 (CVSS-score: 7,0)
Het bestaan van de bug werd voor het eerst gemeld door beveiligingsonderzoekers Peter Girnus en Aliakbar Zahravi in maart 2025. Uit een volgend rapport van HarfangLab bleek dat de tekortkoming ook werd misbruikt door een cyberspionagecluster bekend als XDSpy om een Go-gebaseerde malware genaamd XDigo te verspreiden bij aanvallen gericht op Oost-Europese overheidsinstanties in maart 2025.
Microsoft vertelde destijds aan The Hacker News dat Microsoft Defender over detecties beschikt om deze bedreigingsactiviteit te detecteren en te blokkeren, en dat Smart App Control een extra beschermingslaag biedt door kwaadaardige bestanden van internet te blokkeren.
Het LNK-bestand is specifiek ontworpen om een PowerShell-opdracht te starten om de inhoud van een TAR-archief te decoderen en te extraheren en tegelijkertijd een lok-PDF-document aan de gebruiker weer te geven. Het archief bevat drie bestanden: een legitiem Canon-hulpprogramma voor printerassistenten, een kwaadaardige DLL genaamd CanonStager die wordt sideload met behulp van het binaire bestand, en een gecodeerde PlugX-payload (“cnmplog.dat”) die wordt gestart door de DLL.
“De malware biedt uitgebreide mogelijkheden voor externe toegang, waaronder het uitvoeren van opdrachten, keylogging, het uploaden en downloaden van bestanden, het instellen van persistentie en uitgebreide systeemverkenningsfuncties”, aldus Arctic Wolf. “Dankzij de modulaire architectuur kunnen operators de functionaliteit uitbreiden via plug-inmodules die zijn afgestemd op specifieke operationele vereisten.”
PlugX implementeert ook verschillende anti-analysetechnieken en anti-debugging-controles om pogingen te weerstaan om de interne onderdelen uit te pakken en onder de radar te blijven. Het bereikt persistentie door middel van een Windows-registerwijziging.
Arctic Wolf zei dat de CanonStager-artefacten die begin september en oktober 2025 zijn gevonden, getuige zijn geweest van een gestage afname in omvang van ongeveer 700 KB naar 4 KB, wat wijst op actieve ontwikkeling en de evolutie ervan naar een minimaal hulpmiddel dat in staat is zijn doelen te bereiken zonder een grote forensische voetafdruk achter te laten.
Bovendien is gebleken dat UNC6384, in wat wordt gezien als een verfijning van het mechanisme voor het afleveren van malware, begin september een HTML-applicatiebestand (HTA) gebruikt om een extern JavaScript te laden dat op zijn beurt de kwaadaardige payloads ophaalt van een cloudfront(.)net-subdomein.
“De focus van de campagne op Europese diplomatieke entiteiten die betrokken zijn bij defensiesamenwerking, grensoverschrijdende beleidscoördinatie en multilaterale diplomatieke kaders sluit aan bij de strategische inlichtingenvereisten van de VRC met betrekking tot de Europese alliantiecohesie, defensie-initiatieven en mechanismen voor beleidscoördinatie”, concludeerde Arctic Wolf.
