کمیته رکن چهارم– گزارشهای جدید نشان میدهد گروه هکری UNC6384 وابسته به دولت چین، با استفاده از یک آسیبپذیری وصلهنشده در میانبرهای ویندوز، به نهادهای دیپلماتیک و دولتی اروپایی حمله کرده است. این حملات از شهریور تا مهر ۱۴۰۴ (سپتامبر تا اکتبر ۲۰۲۵) انجام شده و هدف آنها کشورهای مجارستان، بلژیک، ایتالیا، هلند و صربستان بوده است.
به گزارش کمیته رکن چهارم، این حملات با ایمیلهای فیشینگ آغاز شدهاند که حاوی لینکهایی برای دانلود فایلهای LNK مخرب با مضامین دیپلماتیک بودهاند. این فایلها از طریق آسیبپذیری ZDI-CAN-25373 که با کد CVE-2025-9491 شناسایی میشود، زنجیرهای چندمرحلهای را فعال کرده و در نهایت بدافزار PlugX را با روش DLL sideloading اجرا میکنند.
بدافزار PlugX که با نامهای مختلفی مانند SOGU و Korplug نیز شناخته میشود، یک تروجان دسترسی از راه دور است که امکان اجرای فرمان، ثبت کلیدهای فشردهشده، بارگذاری فایل، ایجاد پایداری و شناسایی سیستم را فراهم میکند. این بدافزار با تکنیکهای ضددیباگ و ضدتحلیل طراحی شده تا از شناسایی توسط ابزارهای امنیتی جلوگیری کند.
نسخههای جدید ابزار مخرب CanonStager که در این حملات استفاده شدهاند، از نظر حجم بهطور قابل توجهی کاهش یافتهاند؛ امری که نشاندهنده توسعه مداوم و تلاش برای کوچکسازی بدافزار و کاهش ردیابی است. همچنین، استفاده از فایلهای HTA برای بارگذاری بدافزار از زیرساخت cloudfront نشاندهنده تنوع در روشهای توزیع است.
تمرکز این کارزار بر نهادهای دیپلماتیک فعال در سیاستهای فرامرزی و امنیتی اروپا، با اهداف اطلاعاتی راهبردی چین همسو است. مایکروسافت اعلام کرده که ابزارهای امنیتی مانند Microsoft Defender و Smart App Control برای شناسایی این تهدیدات بهروزرسانی شدهاند. با این حال، بهرهبرداری فعال از این نقص همچنان ادامه دارد و کاربران باید نسبت به ایمیلها و فایلهای مشکوک هوشیار باشند.
