Un actor de amenazas afiliado a China conocido como UNC6384 se ha relacionado con un nuevo conjunto de ataques que explotan una vulnerabilidad de camino directo de Windows sin parchear para atacar entidades diplomáticas y gubernamentales europeas entre septiembre y octubre de 2025.
La actividad tuvo como objetivo organizaciones diplomáticas en Hungría, Bélgica, Italia y Países Bajos, así como agencias gubernamentales en Serbia, dijo Arctic Wolf en un mensaje técnico publicado el jueves.
«La sujeción de ataque comienza con correos electrónicos de phishing que contienen una URL incrustada que es la primera de varias etapas que conducen a la entrega de archivos LNK maliciosos relacionados con reuniones de la Comisión Europea, talleres relacionados con la OTAN y eventos de coordinación diplomática multilateral», dijo la compañía de ciberseguridad.
Los archivos están diseñados para explotar ZDI-CAN-25373 y desencadenar una sujeción de ataque de varias etapas que culmina con la implementación del malware PlugX mediante la carga colateral de DLL. PlugX es un troyano de camino remoto incluso conocido como Destroy RAT, Kaba, Korplug, SOGU y TIGERPLUG.
UNC6384 fue objeto de un estudio flamante realizado por Google Threat Intelligence Group (GTIG), que lo describió como un congregación con superposiciones tácticas y de herramientas con un congregación de hackers conocido como Mustang Panda. Se ha observado que el actor de amenazas entrega una variable de PlugX residente en memoria citación SOGU.SEC.
La última ola de ataques utiliza correos electrónicos de phishing con señuelos diplomáticos para atraer a los destinatarios a aclarar un archivo adjunto ficticio diseñado para explotar ZDI-CAN-25373, una vulnerabilidad que ha sido utilizada por múltiples actores de amenazas desde 2017 para ejecutar comandos maliciosos ocultos en la máquina de una víctima. Tiene un seguimiento oficial como CVE-2025-9491 (puntuación CVSS: 7,0)
La existencia del error fue informada por primera vez por los investigadores de seguridad Peter Girnus y Aliakbar Zahravi en marzo de 2025. Un mensaje posterior de HarfangLab encontró que un congregación de ciberespionaje conocido como XDSpy incluso había abusado de la deficiencia para distribuir un malware basado en Go llamado XDigo en ataques dirigidos a entidades gubernamentales de Europa del Este en marzo de 2025.
En ese momento, Microsoft le dijo a The Hacker News que Microsoft Defender cuenta con detecciones para detectar y circunvalar esta actividad de amenaza, y que Smart App Control proporciona una capa adicional de protección al circunvalar archivos maliciosos de Internet.
Específicamente, el archivo LNK está diseñado para ejecutar un comando de PowerShell para decodificar y extraer el contenido de un archivo TAR y, simultáneamente, mostrar un documento PDF señuelo al afortunado. El archivo contiene tres archivos: una utilidad legítima de asistente de impresora Canon, una DLL maliciosa denominada CanonStager que se descarga utilizando el binario y una carga útil cifrada de PlugX («cnmplog.dat») que inicia la DLL.
«El malware proporciona capacidades integrales de camino remoto que incluyen ejecución de comandos, registro de teclas, operaciones de carga y descarga de archivos, establecimiento de persistencia y amplias funciones de inspección del sistema», dijo Arctic Wolf. «Su casa modular permite a los operadores ampliar la funcionalidad a través de módulos complementarios adaptados a requisitos operativos específicos».
PlugX incluso implementa varias técnicas anti-análisis y controles anti-depuración para resistir los esfuerzos por descomprimir sus componentes internos y suceder desapercibidos. Logra la persistencia mediante una modificación del Registro de Windows.
Arctic Wolf dijo que los artefactos de CanonStager encontrados a principios de septiembre y octubre de 2025 han sido testigos de una disminución constante en su tamaño de aproximadamente 700 KB a 4 KB, lo que indica un expansión activo y su cambio en dirección a una utensilio mínima capaz de conseguir sus objetivos sin dejar mucha huella forense.
Encima, en lo que se percibe como un refinamiento del mecanismo de entrega de malware, se descubrió que UNC6384 aprovecha un archivo de aplicación HTML (HTA) a principios de septiembre para cargar un JavaScript forastero que, a su vez, recupera las cargas maliciosas de un subdominio de red frente a la montón(.).
«El enfoque de la campaña en las entidades diplomáticas europeas involucradas en la cooperación de defensa, la coordinación de políticas transfronterizas y los marcos diplomáticos multilaterales se alinea con los requisitos de inteligencia estratégica de la República Popular China relacionados con la cohesión de la alianza europea, las iniciativas de defensa y los mecanismos de coordinación de políticas», concluyó Arctic Wolf.
