Un actor de amenazas afiliado a los intereses de inteligencia de China, rastreado como UNC6384, ha explotado una vulnerabilidad de Windows sin parches, CVE-2025-9491, para lanzar ataques de ciberespionaje contra personal diplomático en Bélgica, Hungría y otros estados miembros de la Unión Europea entre septiembre y octubre de 2025.
La cadena de ataque comienza con correos electrónicos de spear phishing que llevan un enlace malicioso. Las víctimas son atraídas a una página de inicio de sesión falsa de Microsoft que se hace pasar por una verificación de credenciales genuina vinculada a reuniones de la Comisión Europea o talleres de la OTAN. Una vez que el objetivo abre el enlace, un archivo comprimido ejecuta un acceso directo malicioso (. LNK). Este archivo activa un script de PowerShell que instala el troyano de acceso remoto PlugX a través de la carga lateral de DLL de una utilidad de asistente de impresora Canon firmada. Aparece un documento PDF señuelo en la pantalla para distraer al usuario mientras el malware opera en silencio.
Los investigadores de seguridad en el estado tienen una gran confianza en Arctic Wolf Labs que UNC6384 es la fuerza detrás de esta campaña. Su evaluación se basa en superposiciones en infraestructura, tácticas y herramientas con operaciones UNC6384 previamente documentadas. Si bien el grupo está vinculado al ecosistema de espionaje más amplio de China, incluido Mustang Panda (también conocido como TEMP. Hex), los actores en este caso están operando con un conjunto refinado de herramientas y métodos sigilosos.
La vulnerabilidad que se está explotando, CVE-2025-9491, fue identificada por primera vez por los investigadores de Trend Micro en marzo de 2025. Afecta la forma en que Windows maneja el acceso directo (. LNK) y permite a los atacantes ejecutar código arbitrario de forma remota. Microsoft reconoció la falla, pero la clasificó como que no justificaba de inmediato un parche de emergencia, una decisión que, según los críticos, dejó expuestos a muchos sistemas.
Entre las víctimas de esta campaña se encuentran diplomáticos y organizaciones gubernamentales de toda Europa. Aunque la lista completa de entidades afectadas no se ha revelado públicamente, el ataque a las redes diplomáticas europeas sugiere un enfoque en la recopilación de inteligencia en lugar de simplemente ganancias financieras. Al obtener acceso a credenciales, correos electrónicos internos y recursos de red, los atacantes podrían monitorear las comunicaciones, reposicionarse para una mayor intrusión y potencialmente permitir la interrupción si fuera necesario.
Defenderse contra un día cero de esta naturaleza plantea desafíos significativos porque la intrusión comienza con lo que parece ser un archivo o documento legítimo. El uso de herramientas integradas de Windows, archivos binarios firmados y cargas mínimas permite a los atacantes evadir muchas soluciones de seguridad tradicionales que se centran en firmas de malware o amenazas conocidas. Para las organizaciones de los sectores diplomático, gubernamental o de defensa, el incidente subraya la importancia de la detección basada en el comportamiento, la aplicación estricta del acceso con privilegios mínimos y la gestión rápida de parches.
Para proteger las redes de manera efectiva, los especialistas recomiendan priorizar la eliminación de los sistemas orientados a Internet que manejan credenciales confidenciales, aplicar la autenticación multifactor en todas las cuentas y mantener un monitoreo estricto de la actividad de inicio de sesión remoto. La detección rápida del movimiento lateral externo, especialmente después de la ejecución de archivos o procesos inusuales, se vuelve esencial. Con las vulnerabilidades de día cero, la ventana de explotación a menudo se abre inmediatamente después de la divulgación, lo que significa que los retrasos en la aplicación de parches o los cambios de configuración aumentan drásticamente el riesgo.
El enfoque de UNC6384 marca un cambio en las operaciones cibernéticas vinculadas al estado. Mientras que las campañas anteriores asociadas con el grupo o sus afiliados a menudo enfatizaban resultados destructivos, como el borrado de datos o interrupciones de la infraestructura, la actividad actual se centra en el acceso sigiloso, el robo de credenciales y la presencia a largo plazo. Este cambio sugiere que el adversario está superponiendo el espionaje y el reconocimiento antes de posibles operaciones disruptivas, y que los defensores deben asumir amenazas persistentes incluso cuando no se ve un daño inmediato.
Para los diplomáticos y las organizaciones gubernamentales europeas, las implicaciones son graves. Si el acceso no autorizado continúa sin control, podría dar lugar a una supervisión prolongada de las comunicaciones sensibles, a comprometer la propiedad intelectual o a la posición para futuras interferencias. Debido a que las redes diplomáticas a menudo se interconectan con los sistemas de seguridad nacional, defensa e infraestructura crítica, una violación de este tipo podría formar la base para una ventaja estratégica más amplia.
Si bien UNC6384 es la entidad más estrechamente vinculada a la campaña, la atribución sigue siendo intrínsecamente compleja y ni las víctimas ni Microsoft han confirmado públicamente el alcance total de la intrusión. Sin embargo, la evidencia documentada de vulnerabilidades de acceso directo, carga de prueba DLL e implementación de PlugX se alinea fuertemente con los patrones observados en operaciones anteriores alineadas con chino. Por lo tanto, las organizaciones deben tratar cualquier atajo sospechoso, proceso remoto o comportamiento de aplicaciones confiables como posibles indicadores de compromiso.
Este incidente es un recordatorio de que incluso los entornos diplomáticos de vanguardia siguen siendo vulnerables a amenazas persistentes avanzadas equipadas con herramientas de día cero. Para los defensores, la prioridad inmediata es cerrar las puertas que explotan los actores de día cero. Aplicar parches cuando sea posible, aislar activos y monitorear anomalías de comportamiento. Una postura proactiva, una preparación continua y la coordinación entre el gobierno, la industria y los socios internacionales son ahora fundamentales para mantener la resiliencia diplomática y de ciberseguridad.