中国のUNC6384キャンペーンがWindows .LNKの脆弱性を巧妙に悪用していることをセキュリティ企業が発見
中国のハッカーが、2017年から脅威グループに人気のある長年のWindowsショートカットの脆弱性を利用し、欧州の外交官を標的にしていることが確認されました。
最新のキャンペーンを発見したセキュリティ企業Arctic Wolfによると、最近の攻撃では、ハンガリー、ベルギー、セルビア、イタリア、オランダ政府に勤務する職員に対し、9月と10月にスピアフィッシングメールが送信されました。
このキャンペーンの背後にいると疑われている中国政府運営のグループは、Google Threat Intelligence Group(GTIG)によってUNC6384と名付けられています。同じグループは2025年初頭にも複数のアジア諸国の外交官を標的にしたと考えられており、UNC6384が最近発見された脅威アクターであるかのような印象を与えています。そのためUNC(「未分類」)というステータスが付けられています。
しかし、Arctic Wolfはこのグループのツール、技術、手法(TTP)が、2012年から活動している既知の中国の脅威グループ「Mustang Panda」と非常によく似ていると述べています。
一見すると、これは外国政府を標的にした中国のサイバースパイ活動の一つに過ぎないように見えます。しかし、より深い問題があります。それは、マイクロソフトがこれまで修正を拒否、あるいはできていない、キャンペーンで使われているWindowsの脆弱性です。
ゴースト脆弱性
Arctic Wolfによると、最新のキャンペーンでは、外交関連のテーマを使ったスピアフィッシングメールで標的を誘導し、悪意のあるWindows .LNKショートカットファイルを実行させていました。この脆弱性は、WindowsのUI解析の欠陥に起因しており、.LNK形式の空白部分にコマンドライン命令を隠すことができます。
これにより、攻撃者は一連の悪意ある動作を実行しつつ、2023年9月26日にブリュッセルで開催予定だった欧州委員会の本物の会議の議題を示す偽装PDFを表示できます。その結果、2008年からバックドアとして人気のあるリモートアクセス型トロイの木馬「PlugX」が展開されます。
Trend Microは2024年9月にこの脆弱性についてマイクロソフトに報告し、その後CVE-2025-9491という識別子が付与されました。しかし、同社のZero Day Initiative(ZDI)は2017年にも同じ問題に気付いており、その際は別の社内「候補」識別子ZDI-CAN-25373が与えられていました。
「この脆弱性は、北朝鮮、イラン、ロシア、中国の国家支援APTグループによって悪用されてきました」とTrend Microは2018年3月のブログで述べています。
正式なCVEが存在するにもかかわらず、マイクロソフトはこの問題への対応に消極的なようです。Trend Microは2025年のより最近のブログで「Trend ZDIのバグ報奨金プログラムを通じてマイクロソフトに概念実証のエクスプロイトを提出しましたが、マイクロソフトはこの脆弱性に対するセキュリティパッチの提供を拒否しました」と指摘しています。
この消極姿勢は、おそらくCVE-2025-9491/ZDI-CAN-25373の修正が、現在の設計に依存しているレガシーアプリケーションを壊さずに行うのが困難であるためでしょう。
緩和策
パッチが存在しない現状では、.LNK攻撃を懸念する組織は、.LNKファイルのブロックやWindows Explorerでの実行を無効化することを検討すべきだとArctic Wolfは助言しています。
「この対策は、機密性の高い外交や政策情報にアクセスできる職員が使用するエンドポイントを優先し、すべてのWindowsシステムで実施すべきです。この脆弱性は2025年3月に公開されましたが、公開から数か月で脅威アクターに利用されたことから、緊急の監視と対策が必要です」と述べています。
また、攻撃者が使用するコマンド&コントロール(C2)ドメインをブロックすることもできますが、これらは時間とともに変化します。加えて、Arctic WolfはITチームに対し、cnmpaui.exeのようなCanonプリンターアシスタントユーティリティの存在を調査することを推奨しています。これらはキャンペーンのエクスプロイトチェーンの一部です。
「短期間に複数の欧州諸国を標的とした広範な攻撃は、大規模な協調型情報収集作戦、または共通のツールを用いながら独立した標的を持つ複数の並行運用チームの展開を示唆しています」とArctic Wolfは指摘し、UNC6384が2025年初頭にこの脆弱性が公開されてからすぐに利用した事実は、同グループが高度な能力とリソースを持っていることを示していると付け加えています。
Windowsショートカットファイルをさまざまな方法で悪用する攻撃自体は、決して新しいものでも革新的なものでもありません。2025年には、ロシアのサイバーキャンペーンによるウクライナへの攻撃、Remcos RATを使った中国の攻撃、アラブ首長国連邦(UAE)の企業を標的にした攻撃など、さまざまな形で悪用されています。6月にはCloudflare Tunnelサービスを悪用した攻撃でペイロードを隠す手法にも使われました。問題は、この種の脆弱性が本来有用な機能を悪用しているため、単純に修正するのが難しいという点です。
