Een dreigingsactor die gelieerd is aan de inlichtingenbelangen van China, gevolgd als UNC6384, heeft misbruik gemaakt van een niet-gepatchte Windows-kwetsbaarheid, CVE-2025-9491, om tussen september en oktober 2025 cyberspionageaanvallen uit te voeren tegen diplomatiek personeel in België, Hongarije en andere lidstaten van de Europese Unie.
De aanvalsketen begint met spear phishing-e-mails die een kwaadaardige link bevatten. Slachtoffers worden naar een valse Microsoft-inlogpagina getrokken die zich voordoet als een echte referentiecontrole die is gekoppeld aan vergaderingen van de Europese Commissie of NAVO-workshops. Zodra het doelwit de link opent, voert een gecomprimeerd bestand een kwaadaardige snelkoppeling uit (. LNK) bestand. Dit bestand activeert een PowerShell-script dat de PlugX-trojan voor externe toegang installeert via DLL-sideloading van een ondertekend Canon-printerassistenthulpprogramma. Er verschijnt een lok-PDF-document op het scherm om de gebruiker af te leiden terwijl de malware stil werkt.
Beveiligingsonderzoekers stellen Arctic Wolf Labs met veel vertrouwen dat UNC6384 de kracht achter deze campagne is. Hun beoordeling is gebaseerd op overlappingen in infrastructuur, tactieken en tooling met eerder gedocumenteerde UNC6384 operaties. Hoewel de groep verbonden is met China’s bredere spionage-ecosysteem, waaronder Mustang Panda (ook bekend als TEMP. Hex), werken de acteurs in dit geval met een verfijnde set tools en stealth-methoden.
De kwetsbaarheid die wordt misbruikt, CVE-2025-9491, werd voor het eerst geïdentificeerd door onderzoekers van Trend Micro in maart 2025. Het beïnvloedt hoe Windows omgaat met snelkoppelingen (. LNK) bestanden en stelt aanvallers in staat om op afstand willekeurige code uit te voeren. Microsoft erkende de fout, maar classificeerde het als niet onmiddellijk een noodpatch rechtvaardigend, een beslissing die volgens critici veel systemen blootstelde.
Slachtoffers van deze campagne zijn onder meer diplomaten en overheidsorganisaties in heel Europa. Hoewel de volledige lijst van getroffen entiteiten niet openbaar is gemaakt, suggereert de gerichtheid op Europese diplomatieke netwerken dat de nadruk ligt op het verzamelen van inlichtingen in plaats van alleen op financieel gewin. Door toegang te krijgen tot inloggegevens, interne e-mails en netwerkbronnen, kunnen de aanvallers de communicatie monitoren, zich herpositioneren voor verdere indringers en mogelijk verstoring mogelijk maken indien nodig.
Verdediging tegen een zero-day van deze aard brengt aanzienlijke uitdagingen met zich mee, omdat de inbraak begint met wat een legitiem bestand of document lijkt te zijn. Het gebruik van ingebouwde Windows-tools, ondertekende binaire bestanden en minimale payloads stelt aanvallers in staat om veel traditionele beveiligingsoplossingen te omzeilen die zich richten op malwarehandtekeningen of bekende bedreigingen. Voor organisaties in de diplomatieke, overheids- of defensiesector onderstreept het incident het belang van op gedrag gebaseerde detectie, strikte toepassing van toegang met minimale privileges en snel patchbeheer.
Om netwerken effectief te beschermen, raden specialisten aan prioriteit te geven aan het verwijderen van internetgerichte systemen die gevoelige inloggegevens verwerken, multi-factor authenticatie af te dwingen voor alle accounts en strikt toezicht te houden op externe inlogactiviteiten. Een snelle detectie van externe zijwaartse bewegingen, vooral na de uitvoering van ongebruikelijke bestanden of processen, wordt essentieel. Bij zero-day-kwetsbaarheden wordt het venster voor uitbuiting vaak onmiddellijk na openbaarmaking geopend, wat betekent dat vertragingen bij het patchen of configuratiewijzigingen het risico drastisch vergroten.
De aanpak van UNC6384 markeert een verschuiving in staatsgerelateerde cyberoperaties. Terwijl eerdere campagnes in verband met de groep of zijn gelieerde ondernemingen vaak de nadruk legden op destructieve resultaten, zoals het wissen van gegevens of uitval van de infrastructuur, richt de huidige activiteit zich op sluipende toegang, diefstal van inloggegevens en langdurige aanwezigheid. Deze verandering suggereert dat de tegenstander spionage en verkenning stapelt boven mogelijke ontwrichtende operaties, en dat verdedigers aanhoudende bedreigingen moeten aannemen, zelfs als er geen onmiddellijke schade zichtbaar is.
Voor Europese diplomaten en gouvernementele organisaties zijn de gevolgen ernstig. Als ongeoorloofde toegang ongecontroleerd blijft, kan dit leiden tot langdurige monitoring van gevoelige communicatie, compromittering van intellectueel eigendom of positionering voor toekomstige interferentie. Omdat diplomatieke netwerken vaak verbonden zijn met nationale veiligheids-, defensie- en kritieke infrastructuursystemen, kan een dergelijke inbreuk de basis vormen voor een breder strategisch voordeel.
Hoewel UNC6384 de entiteit is die het nauwst verbonden is met de campagne, blijft attributie inherent complex en hebben noch de slachtoffers, noch Microsoft de volledige reikwijdte van de inbraak publiekelijk bevestigd. Het gedocumenteerde bewijs van shortcut-exploits, DLL-sideloading en PlugX-implementatie komen echter sterk overeen met patronen die zijn waargenomen in eerdere op China afgestemde operaties. Organisaties moeten daarom elke verdachte snelkoppeling, proces op afstand of vertrouwd applicatiegedrag behandelen als potentiële indicatoren van compromittering.
Dit incident herinnert ons eraan dat zelfs geavanceerde diplomatieke omgevingen kwetsbaar blijven voor geavanceerde aanhoudende dreigingen die zijn uitgerust met zero-day-tools. Voor verdedigers is de onmiddellijke prioriteit het sluiten van deuren die zero-day actoren uitbuiten. Patchen waar mogelijk, activa isoleren en monitoren op gedragsafwijkingen. Een proactieve houding, voortdurende paraatheid en coördinatie tussen de overheid, de industrie en internationale partners zijn nu van cruciaal belang voor het behoud van diplomatieke en cyberbeveiligingsweerbaarheid.