Ein Bedrohungsakteur, der mit Chinas Geheimdienstinteressen in Verbindung steht und als UNC6384 verfolgt wird, hat eine ungepatchte Windows-Schwachstelle, CVE-2025-9491, ausgenutzt, um zwischen September und Oktober 2025 Cyberspionage-Angriffe auf diplomatisches Personal in Belgien, Ungarn und anderen Mitgliedstaaten der Europäischen Union zu starten.
Die Angriffskette beginnt mit Spear-Phishing-E-Mails, die einen bösartigen Link enthalten. Die Opfer werden auf eine gefälschte Microsoft-Anmeldeseite gelockt, die sich als echte Berechtigungsprüfung tarnt, die mit Sitzungen der Europäischen Kommission oder NATO-Workshops in Verbindung steht. Sobald das Ziel den Link öffnet, führt eine gezippte Datei eine bösartige Verknüpfung (. LNK) Datei ein. Diese Datei aktiviert ein PowerShell-Skript, das den PlugX-Fernzugriffstrojaner über DLL-Sideloading eines signierten Canon-Druckerassistenten-Dienstprogramms installiert. Ein Köder-PDF-Dokument erscheint auf dem Bildschirm, um den Benutzer abzulenken, während die Malware unbemerkt arbeitet.
Die Sicherheitsforscher sind Arctic Wolf Labs zuversichtlich, dass UNC6384 die treibende Kraft hinter dieser Kampagne ist. Ihre Bewertung basiert auf Überschneidungen in Infrastruktur, Taktiken und Tools mit zuvor dokumentierten UNC6384 Abläufen. Während die Gruppe mit Chinas breiterem Spionage-Ökosystem verbunden ist, einschließlich Mustang Panda (auch bekannt als TEMP. Hex), operieren die Akteure in diesem Fall mit einem ausgeklügelten Satz von Werkzeugen und Stealth-Methoden.
Die ausgenutzte Schwachstelle CVE-2025-9491 wurde erstmals im März 2025 von Trend Micro Forschern identifiziert. Dies wirkt sich darauf aus, wie Windows Verknüpfungen (. LNK) Dateien und ermöglicht es Angreifern, beliebigen Code aus der Ferne auszuführen. Microsoft räumte den Fehler ein, stufte ihn aber als nicht sofort einen Notfall-Patch ein, eine Entscheidung, die Kritiker zufolge viele Systeme anfällig machte.
Zu den Opfern dieser Kampagne gehören Diplomaten und Regierungsorganisationen in ganz Europa. Obwohl die vollständige Liste der betroffenen Einrichtungen nicht veröffentlicht wurde, deutet die Ausrichtung auf europäische diplomatische Netzwerke darauf hin, dass der Schwerpunkt eher auf der Sammlung von Informationen als nur auf finanziellem Gewinn liegt. Durch den Zugriff auf Anmeldeinformationen, interne E-Mails und Netzwerkressourcen könnten die Angreifer die Kommunikation überwachen, sich für weitere Eindringlinge neu positionieren und bei Bedarf möglicherweise Störungen ermöglichen.
Die Abwehr eines solchen Zero-Day-Angriffs stellt eine große Herausforderung dar, da das Eindringen mit einer scheinbar legitimen Datei oder einem legitimen Dokument beginnt. Die Verwendung integrierter Windows-Tools, signierter Binärdateien und minimaler Nutzlasten ermöglicht es Angreifern, viele herkömmliche Sicherheitslösungen zu umgehen, die sich auf Malware-Signaturen oder bekannte Bedrohungen konzentrieren. Für Unternehmen im diplomatischen, staatlichen oder Verteidigungssektor unterstreicht der Vorfall die Bedeutung einer verhaltensbasierten Erkennung, der strikten Anwendung des Zugriffs mit den geringsten Rechten und eines schnellen Patch-Managements.
Um Netzwerke effektiv zu schützen, empfehlen Experten, der Entfernung von mit dem Internet verbundenen Systemen, die vertrauliche Anmeldeinformationen verarbeiten, Vorrang einzuräumen, die Multi-Faktor-Authentifizierung für alle Konten durchzusetzen und die Remote-Anmeldeaktivitäten streng zu überwachen. Die schnelle Erkennung von externen lateralen Bewegungen, insbesondere nach der Ausführung ungewöhnlicher Dateien oder Prozesse, wird unerlässlich. Bei Zero-Day-Schwachstellen öffnet sich das Zeitfenster für die Ausnutzung oft unmittelbar nach der Offenlegung, was bedeutet, dass Verzögerungen beim Patchen oder Konfigurationsänderungen das Risiko drastisch erhöhen.
Der Ansatz der UNC6384 markiert eine Verschiebung in staatlich gebundenen Cyberoperationen. Während bei früheren Kampagnen, die mit der Gruppe oder ihren Tochtergesellschaften in Verbindung gebracht wurden, oft zerstörerische Ergebnisse wie Datenlöschung oder Infrastrukturausfälle im Vordergrund standen, konzentrieren sich die aktuellen Aktivitäten auf heimlichen Zugriff, Diebstahl von Anmeldeinformationen und langfristige Präsenz. Diese Änderung deutet darauf hin, dass der Angreifer Spionage und Aufklärung vor potenziellen störenden Operationen stellt und dass die Verteidiger auch dann von anhaltenden Bedrohungen ausgehen müssen, wenn kein unmittelbarer Schaden sichtbar ist.
Für europäische Diplomaten und Regierungsorganisationen sind die Auswirkungen gravierend. Wenn der unbefugte Zugriff unkontrolliert fortgesetzt wird, kann dies zu einer langwierigen Überwachung sensibler Kommunikation, einer Kompromittierung des geistigen Eigentums oder einer Positionierung für zukünftige Eingriffe führen. Da diplomatische Netzwerke häufig mit nationalen Sicherheits-, Verteidigungs- und kritischen Infrastruktursystemen verbunden sind, könnte ein solcher Verstoß die Grundlage für einen breiteren strategischen Vorteil bilden.
Obwohl UNC6384 die Entität ist, die am engsten mit der Kampagne verbunden ist, bleibt die Zuschreibung von Natur aus komplex, und weder die Opfer noch Microsoft haben das volle Ausmaß des Eindringens öffentlich bestätigt. Die dokumentierten Beweise für Shortcut-Exploits, DLL-Sideloading und PlugX-Bereitstellung stimmen jedoch stark mit Mustern überein, die bei früheren auf China ausgerichteten Operationen beobachtet wurden. Unternehmen müssen daher jede verdächtige Verknüpfung, jeden Remote-Prozess oder jedes Verhalten vertrauenswürdiger Anwendungen als potenzielle Indikatoren für eine Kompromittierung behandeln.
Dieser Vorfall ist eine Erinnerung daran, dass selbst hochmoderne diplomatische Umgebungen nach wie vor anfällig für fortschrittliche hartnäckige Bedrohungen sind, die mit Zero-Day-Tools ausgestattet sind. Für die Verteidiger besteht die unmittelbare Priorität darin, Türen zu schließen, die von Zero-Day-Akteuren ausgenutzt werden. Patchen, wenn möglich, Isolieren von Assets und Überwachen auf Verhaltensanomalien. Eine proaktive Haltung, kontinuierliche Bereitschaft und Koordination zwischen Regierung, Industrie und internationalen Partnern sind jetzt entscheidend für die Aufrechterhaltung der diplomatischen und Cybersicherheitsresilienz.