Un acteur malveillant affilié aux intérêts du renseignement chinois, suivi sous le nom de UNC6384, a exploité une vulnérabilité Windows non corrigée, CVE-2025-9491, pour lancer des attaques de cyberespionnage contre le personnel diplomatique en Belgique, en Hongrie et dans d’autres États membres de l’Union européenne entre septembre et octobre 2025.
La chaîne d’attaque commence par des e-mails de spear phishing contenant un lien malveillant. Les victimes sont attirées par une fausse page de connexion Microsoft qui se fait passer pour une véritable vérification d’informations d’identification liée à des réunions de la Commission européenne ou à des ateliers de l’OTAN. Une fois que la cible ouvre le lien, un fichier compressé exécute un raccourci malveillant (. LNK). Ce fichier active un script PowerShell qui installe le cheval de Troie d’accès à distance PlugX via le chargement latéral DLL d’un utilitaire d’assistant d’imprimante Canon signé. Un document PDF leurre apparaît à l’écran pour distraire l’utilisateur pendant que le logiciel malveillant fonctionne en silence.
Les chercheurs en sécurité de l’État Arctic Wolf Labs sont convaincus que UNC6384 est la force derrière cette campagne. Leur évaluation est basée sur les chevauchements d’infrastructures, de tactiques et d’outils avec les opérations UNC6384 précédemment documentées. Bien que le groupe soit lié à l’écosystème d’espionnage plus large de la Chine, y compris Mustang Panda (également connu sous le nom de TEMP. Hex), les acteurs dans ce cas opèrent avec un ensemble raffiné d’outils et de méthodes furtives.
La vulnérabilité exploitée, CVE-2025-9491, a été identifiée pour la première fois par des chercheurs de Trend Micro en mars 2025. Cela affecte la façon dont Windows gère le raccourci (. LNK) et permet aux attaquants d’exécuter du code arbitraire à distance. Microsoft a reconnu la faille, mais l’a classée comme ne justifiant pas immédiatement un correctif d’urgence, une décision qui, selon les critiques, a laissé de nombreux systèmes exposés.
Parmi les victimes de cette campagne figurent des diplomates et des organisations gouvernementales de toute l’Europe. Bien que la liste complète des entités touchées n’ait pas été divulguée publiquement, le ciblage des réseaux diplomatiques européens suggère que l’accent est mis sur la collecte de renseignements plutôt que sur le simple gain financier. En accédant aux informations d’identification, aux e-mails internes et aux ressources réseau, les attaquants pourraient surveiller les communications, se repositionner en vue d’une nouvelle intrusion et potentiellement permettre des perturbations si nécessaire.
La défense contre un zero-day de cette nature pose des défis importants, car l’intrusion commence par ce qui semble être un fichier ou un document légitime. L’utilisation d’outils Windows intégrés, de fichiers binaires signés et de charges utiles minimales permet aux attaquants d’échapper à de nombreuses solutions de sécurité traditionnelles axées sur les signatures de logiciels malveillants ou les menaces connues. Pour les organisations des secteurs diplomatique, gouvernemental ou de la défense, l’incident souligne l’importance de la détection basée sur le comportement, de l’application stricte de l’accès au moindre privilège et de la gestion rapide des correctifs.
Pour protéger efficacement les réseaux, les spécialistes recommandent de donner la priorité à la suppression des systèmes connectés à Internet qui gèrent les informations d’identification sensibles, d’appliquer l’authentification multifactorielle sur tous les comptes et de maintenir une surveillance stricte de l’activité de connexion à distance. La détection rapide des mouvements latéraux externes, en particulier après l’exécution de dossiers ou de processus inhabituels, devient essentielle. Avec les vulnérabilités zero-day, la fenêtre d’exploitation s’ouvre souvent immédiatement après la divulgation, ce qui signifie que les retards dans l’application des correctifs ou les modifications de configuration augmentent considérablement les risques.
L’approche de UNC6384 marque un changement dans les cyberopérations liées à l’État. Alors que les campagnes précédentes associées au groupe ou à ses affiliés mettaient souvent l’accent sur des résultats destructeurs, tels que l’effacement des données ou les pannes d’infrastructure, l’activité actuelle se concentre sur l’accès furtif, le vol d’identifiants et la présence à long terme. Ce changement suggère que l’adversaire superpose l’espionnage et la reconnaissance avant les opérations perturbatrices potentielles, et que les défenseurs doivent assumer des menaces persistantes même lorsqu’aucun dommage immédiat n’est visible.
Pour les diplomates et les organisations gouvernementales européennes, les implications sont graves. Si l’accès non autorisé se poursuit sans contrôle, cela pourrait conduire à une surveillance prolongée des communications sensibles, à la compromission de la propriété intellectuelle ou à une position en vue d’interférences futures. Étant donné que les réseaux diplomatiques s’interconnectent souvent avec les systèmes de sécurité nationale, de défense et d’infrastructures critiques, une violation de ce type pourrait constituer le fondement d’un avantage stratégique plus large.
Bien que UNC6384 soit l’entité la plus étroitement liée à la campagne, l’attribution reste intrinsèquement complexe, et ni les victimes ni Microsoft n’ont confirmé publiquement l’étendue totale de l’intrusion. Cependant, les preuves documentées d’exploits de raccourcis, de chargement latéral de DLL et de déploiement de PlugX s’alignent fortement sur les modèles observés lors d’opérations précédentes alignées sur la Chine. Les organisations doivent donc traiter tout raccourci suspect, tout processus à distance ou tout comportement d’application de confiance comme des indicateurs potentiels de compromission.
Cet incident nous rappelle que même les environnements diplomatiques de pointe restent vulnérables aux menaces persistantes avancées, équipés d’outils zero-day. Pour les défenseurs, la priorité immédiate est de fermer les portes que les acteurs de type « zero-day » exploitent. Appliquer des correctifs lorsque cela est possible, isoler les actifs et surveiller les anomalies comportementales. Une attitude proactive, une préparation continue et une coordination entre le gouvernement, l’industrie et les partenaires internationaux sont désormais essentielles pour maintenir la résilience diplomatique et la cybersécurité.