中国と関連するハッカーグループが、ハンガリー、ベルギー、その他の欧州諸国の外交官を標的とした攻撃でWindowsのゼロデイを悪用しています。
Arctic Wolf Labsによると、攻撃の連鎖は、NATOの防衛調達ワークショップや欧州委員会の国境円滑化会議、その他さまざまな外交イベントをテーマにした悪意のあるLNKファイルを配布するスピアフィッシングメールから始まります。
これらの悪意あるファイルは、高深刻度のWindows LNK脆弱性(CVE-2025-9491として追跡)を悪用して、PlugXリモートアクセス型トロイの木馬(RAT)マルウェアを展開し、侵害されたシステム上で永続化を獲得します。これにより、外交通信の監視や機密データの窃取が可能になります。
このサイバースパイ活動は、UNC6384(Mustang Panda)として追跡される中国国家支援の脅威グループによるものとされています。同グループは、中国の戦略的利益に沿った諜報活動を行い、東南アジア全域の外交機関を標的にしていることで知られています。
Arctic Wolf LabsおよびStrikeReadyの研究者による本キャンペーンで使用されたマルウェアやインフラストラクチャの分析から、最近数週間で攻撃の範囲が拡大していることも明らかになりました。当初はハンガリーとベルギーの外交機関に焦点を当てていましたが、現在はセルビア政府機関やイタリア、オランダの外交機関など、他の欧州組織も標的としています。
「Arctic Wolf Labsは、このキャンペーンが中国系のサイバースパイ脅威アクターUNC6384によるものであると高い確信をもって評価しています」と研究者らは述べています。「この帰属判断は、マルウェアツール、戦術的手法、標的の一致、過去に記録されたUNC6384の活動とのインフラ重複など、複数の証拠に基づいています。」
攻撃で多用されている脆弱性
このキャンペーンで使用されているゼロデイ脆弱性は、攻撃者が標的のWindowsシステム上で任意のコードをリモート実行できるようにします。ただし、悪用を成功させるには、被害者を悪意のあるページに誘導したり、悪意のあるファイルを開かせたりするなど、ユーザーの操作が必要です。
CVE-2025-9491は.LNKファイルの処理に存在し、攻撃者はWindowsがショートカットファイルを表示する仕組みを悪用して検知を回避し、ユーザーに気付かれずに脆弱なデバイス上でコードを実行できます。脅威アクターは、この脆弱性を利用して、パディングされた空白文字を使い、COMMAND_LINE_ARGUMENTS構造体内に悪意のあるコマンドライン引数をLNKショートカットファイルに隠します。
2025年3月、Trend Microの脅威アナリストは、CVE-2025-9491がすでに11の国家支援グループやサイバー犯罪組織(Evil Corp、APT43(Kimsuky)、Bitter、APT37、Mustang Panda、SideWinder、RedHotel、Konniなど)によって広く悪用されていることを発見しました。
「これらのキャンペーンでは、Ursnif、Gh0st RAT、Trickbotなど多様なマルウェアペイロードやローダーが追跡されており、マルウェア・アズ・ア・サービス(MaaS)プラットフォームが脅威状況を複雑にしています」とTrend Microは当時述べていました。
Microsoftは3月にBleepingComputerに対し、このゼロデイ脆弱性について「即時対応の基準には達していないが、対応を検討する」と述べていましたが、この深刻なWindows脆弱性に対するセキュリティアップデートはまだリリースされていません。
現在、CVE-2025-9491をブロックする公式パッチが存在しないため、ネットワーク防御担当者には、Windowsの.LNKファイルの使用制限またはブロック、Arctic Wolf Labsが特定したC2インフラからの接続の遮断が推奨されています。
「研究コミュニティによる知見の共有に感謝します。Microsoft Defenderは、この脅威活動を検知・ブロックする機能を備えており、Smart App Controlはインターネットからの悪意のあるファイルをブロックして追加の保護層を提供します」とMicrosoftの広報担当者はBleepingComputerに語りました。
「セキュリティのベストプラクティスとして、お客様にはセキュリティ警告に従い、不明な送信元からのファイルを開かないよう強く推奨します。」
2025年11月3日08:11(EST)更新:Microsoftの声明を追加。
