Un attore di minacce affiliato agli interessi dell’intelligence cinese, monitorato come UNC6384, ha sfruttato una vulnerabilità di Windows senza patch, CVE-2025-9491, per lanciare attacchi di spionaggio informatico contro il personale diplomatico in Belgio, Ungheria e altri Stati membri dell’Unione Europea tra settembre e ottobre 2025.
La catena di attacco inizia con le e-mail di spear phishing che contengono un link dannoso. Le vittime vengono attirate in una falsa pagina di accesso di Microsoft che si maschera da vero e proprio controllo delle credenziali legato alle riunioni della Commissione europea o ai workshop della NATO. Una volta che la destinazione apre il collegamento, un file zippato esegue una scorciatoia dannosa (. LNK). Questo file attiva uno script PowerShell che installa il trojan di accesso remoto PlugX tramite il sideload DLL di un’utilità di assistenza stampante Canon firmata. Sullo schermo viene visualizzato un documento PDF esca per distrarre l’utente mentre il malware opera silenziosamente.
I ricercatori di sicurezza dello Arctic Wolf Labs stato hanno un’elevata fiducia che UNC6384 sia la forza dietro questa campagna. La loro valutazione si basa su sovrapposizioni nell’infrastruttura, nelle tattiche e negli strumenti con operazioni UNC6384 precedentemente documentate. Sebbene il gruppo sia legato al più ampio ecosistema di spionaggio cinese, tra cui Mustang Panda (noto anche come TEMP. Maledizione), gli attori in questo caso operano con un raffinato set di strumenti e metodi furtivi.
La vulnerabilità sfruttata, CVE-2025-9491, è stata identificata per la prima volta dai ricercatori di Trend Micro nel marzo 2025. Influisce sul modo in cui Windows gestisce i collegamenti (. LNK) e consente agli aggressori di eseguire codice arbitrario in remoto. Microsoft ha riconosciuto il difetto, ma lo ha classificato come non immediatamente giustificante una patch di emergenza, una decisione che secondo i critici ha lasciato molti sistemi esposti.
Le vittime di questa campagna includono diplomatici e organizzazioni governative di tutta Europa. Sebbene l’elenco completo delle entità interessate non sia stato reso pubblico, il fatto che le reti diplomatiche europee siano state prese di mira suggerisce un focus sulla raccolta di informazioni piuttosto che sul semplice guadagno finanziario. Ottenendo l’accesso alle credenziali, alle e-mail interne e alle risorse di rete, gli aggressori potrebbero monitorare le comunicazioni, riposizionarsi per ulteriori intrusioni e potenzialmente abilitare l’interruzione, se necessario.
Difendersi da uno zero-day di questa natura pone sfide significative perché l’intrusione inizia con quello che sembra essere un file o un documento legittimo. L’uso di strumenti Windows integrati, file binari firmati e payload minimi consente agli aggressori di eludere molte soluzioni di sicurezza tradizionali che si concentrano su firme malware o minacce note. Per le organizzazioni del settore diplomatico, governativo o della difesa, l’incidente sottolinea l’importanza del rilevamento basato sul comportamento, dell’applicazione rigorosa dell’accesso con privilegi minimi e della gestione tempestiva delle patch.
Per proteggere le reti in modo efficace, gli specialisti raccomandano di dare priorità alla rimozione dei sistemi connessi a Internet che gestiscono credenziali sensibili, di applicare l’autenticazione a più fattori in tutti gli account e di mantenere un monitoraggio rigoroso dell’attività di accesso remoto. Il rilevamento rapido dei movimenti laterali esterni, soprattutto a seguito dell’esecuzione di file o processi insoliti, diventa essenziale. Con le vulnerabilità zero-day, la finestra per lo sfruttamento spesso si apre immediatamente dopo la divulgazione, il che significa che i ritardi nell’applicazione di patch o nelle modifiche alla configurazione aumentano notevolmente il rischio.
L’approccio di UNC6384 segna un cambiamento nelle operazioni informatiche legate allo stato. Mentre le precedenti campagne associate al gruppo o ai suoi affiliati spesso enfatizzavano gli esiti distruttivi, come la cancellazione dei dati o le interruzioni dell’infrastruttura, l’attività attuale si concentra sull’accesso furtivo, sul furto di credenziali e sulla presenza a lungo termine. Questo cambiamento suggerisce che l’avversario sta mettendo lo spionaggio e la ricognizione davanti a potenziali operazioni di disturbo e che i difensori devono assumere minacce persistenti anche quando non sono visibili danni immediati.
Per i diplomatici e le organizzazioni governative europee, le implicazioni sono gravi. Se l’accesso non autorizzato continua senza essere controllato, potrebbe portare a un monitoraggio prolungato delle comunicazioni sensibili, alla compromissione della proprietà intellettuale o al posizionamento per future interferenze. Poiché le reti diplomatiche spesso si interconnettono con i sistemi di sicurezza nazionale, di difesa e di infrastrutture critiche, una violazione di questo tipo potrebbe costituire la base per un vantaggio strategico più ampio.
Sebbene UNC6384 sia l’entità più strettamente legata alla campagna, l’attribuzione rimane intrinsecamente complessa e né le vittime né Microsoft hanno confermato pubblicamente l’intera portata dell’intrusione. Tuttavia, le prove documentate di exploit di collegamento, sideload DLL e distribuzione PlugX sono fortemente allineate con i modelli osservati nelle precedenti operazioni allineate alla Cina. Le organizzazioni devono quindi considerare qualsiasi scorciatoia sospetta, processo remoto o comportamento affidabile delle applicazioni come potenziali indicatori di compromissione.
Questo incidente ci ricorda che anche gli ambienti diplomatici all’avanguardia rimangono vulnerabili alle minacce persistenti avanzate dotate di strumenti zero-day. Per i difensori, la priorità immediata è chiudere le porte che gli attori zero-day sfruttano. Applicazione di patch quando possibile, isolamento delle risorse e monitoraggio delle anomalie comportamentali. Una posizione proattiva, una prontezza continua e il coordinamento tra governo, industria e partner internazionali sono ora fondamentali per mantenere la resilienza diplomatica e della sicurezza informatica.