Windows 0-dagssårbarhed udnyttes aktivt til spionage

Eskil Sørensen

10.31.2025 13:46

Europæiske diplomater er i skudlinjen.

Et kinesisk statsstøttet trusselsaktør, kendt som UNC6384 (også kaldet Mustang Panda), udnytter en hidtil upatchet Windows 0-dagssårbarhed i en igangværende cyberspionagekampagne rettet mod diplomatiske enheder i Europa – herunder Ungarn, Belgien, Serbien, Italien og Holland.

Det skriver Bleeping Computer.

Spearphishing igen-igen

Ifølge Arctic Wolf Labs starter angrebene med målrettede spearphishing-mails, der indeholder ondsindede LNK-filer med temaer relateret til NATO-forsvarsindkøb, EU-grænsefacilitering og diplomatiske møder. Disse LNK-filer udnytter CVE-2025-9491 – som er en alvorlig 0-dagssårbarhed i Windows’ håndtering af genvejsfiler – til at installere PlugX RAT-malwaren og opnå vedvarende adgang til kompromitterede systemer.

Sårbarheden gør det muligt for angribere at skjule skadelige kommandoer i genvejsfiler ved at manipulere COMMAND_LINE_ARGUMENTS-strukturen med polstrede mellemrum. Exploiten kræver brugerinteraktion, typisk ved at offeret åbner en fil eller besøger en ondsindet side.

Sårbarhedens id-nummer i ENISAs sårbarhedsdatabase er EUVD-2025-28860. CVSS-scoren er 7,0, mens EPSS-scoren er pt. er 0,35 pct.

Strategisk spionage

UNC6384 har ifølge Bleeping Computer tidligere været aktiv i Sydøstasien, men kampagnen har nu udvidet sig til centrale europæiske diplomatiske mål. Analysen fra Arctic Wolf og StrikeReady peger - baseret på malwareværktøjer, taktiske procedurer og infrastruktur, der matcher tidligere operationer - på, at UNC6384 står bag.

Trend Micro rapporterede allerede i marts 2025, at CVE-2025-9491 blev udnyttet af mindst 11 statsstøttede grupper og cyberkriminelle, herunder Evil Corp, APT43 (Kimsuky), Bitter, APT37, SideWinder og RedHotel. Malware som Ursnif, Gh0st RAT og Trickbot er blevet observeret i disse kampagner, ofte distribueret via malware-as-a-service-platforme.

Ingen patch – bloker for .LNK-filer

Microsoft har endnu ikke udgivet en sikkerhedsopdatering til CVE-2025-9491, selvom sårbarheden er bredt udnyttet. I mellemtiden anbefales det, at

brugen af .LNK-filer begrænses eller blokeres i mails og på netværksdrev.
C2-infrastruktur identificeret af Arctic Wolf Labs blokeres.
Der monitoreres for PlugX og relateret RAT-aktivitet i netværkstrafik og endpoints.

Læs mere

https://www.bleepingcomputer.com/news/security/chinese-hackers-exploit-windows-zero-day-to-spy-on-european-diplomats/

Sårbarhed