Arctic Wolfの報告によると、中国の脅威アクターが、ヨーロッパの外交コミュニティを標的とした新たな攻撃で、未修正のWindowsショートカットの脆弱性を悪用しています。
悪用された脆弱性はCVE-2025-9491(CVSSスコア7.0)として追跡されており、UIの誤表示問題と説明されています。Windowsがファイルのプロパティを確認する際に、悪意のある活動の証拠となる重要な情報を表示しないことが原因です。
Arctic Wolfが確認した攻撃では、被害者が開くと悪意のあるコードを実行するよう設計されたLNKファイルが配布されています。CVE-2025-9491は、ファイルのプロパティを確認するユーザーから悪意のあるコードを見えなくするために悪用されています。
Trend MicroのZero Day Initiative(ZDI)は、2024年9月にこの問題をMicrosoftに報告しました。Microsoftはこのセキュリティ欠陥に対するパッチをリリースしておらず、ZDIに対し「サービスの基準を満たしていない」と通知しました。ZDIは開示ポリシーに従い、今年3月に脆弱性情報を公開しました。
ZDIは当時、北朝鮮、ロシア、中国、イランの11の国家支援APTグループが、防衛、エネルギー、金融、政府、軍事、通信、シンクタンク、民間組織を標的とした攻撃で、特別に細工されたLNKファイルを悪用していると警告していました。
Microsoftは3月にSecurityWeekに対し、ユーザーがファイルのプロパティを確認して悪意のあるコードを探すことは稀であり、Microsoft DefenderはLNKファイルでこの手法の使用を検出できると述べました。
また、同社はインターネットからダウンロードされたそのようなファイルを開こうとすると自動的にセキュリティ警告が表示されること、インターネット経由や信頼できない送信元から受け取ったファイルを開く際は注意すべきだと述べています。
現在、Arctic Wolfは、Mustang Panda APTに関連し、Basin、Bronze President、Earth Preta、Red Delta、Temp.Hex、Twill Typhoonとしても追跡されている中国の脅威アクターUNC6384が、2025年9月以降、CVE-2025-9491を悪用した攻撃を行っていると述べています。
このハッキンググループは、ヨーロッパの外交官を標的に、感染チェーンを開始する埋め込みURLを含むスピアフィッシングメールを送り、PlugXリモートアクセス型トロイの木馬(RAT)を配信しています。
感染チェーンのある段階では、「欧州委員会の会議、NATO関連のワークショップ、多国間外交調整イベントをテーマにした悪意のあるLNKファイル」がドロップされ、未修正の脆弱性が悪用されます。
このエクスプロイトにより、UNC6384はPowerShellコマンドの実行、署名済みのCanonプリンタユーティリティのドロップ、およびDLLサイドローディングによるPlugXの実行を行うことができます。
「Arctic Wolf Labsは、このキャンペーンがUNC6384によるものであると高い確信を持って評価しています。この帰属判断は、マルウェアツール、戦術的手法、標的の一致、過去に文書化されたUNC6384の活動とのインフラ重複など、複数の証拠に基づいています」とサイバーセキュリティ企業は述べています。
9月と10月には、Arctic WolfはUNC6384がハンガリーとベルギーの外交関係者を標的とした攻撃でこのバグを悪用しているのを観測しました。さらに、同社はこのキャンペーンがセルビア政府の航空部門やイタリア、オランダの外交機関を標的にしていることとも関連付けています。
翻訳元: https://www.securityweek.com/chinese-apt-exploits-unpatched-windows-flaw-in-recent-attacks/
