Um agente de ameaças afiliado aos interesses de inteligência da China, rastreado como UNC6384, explorou uma vulnerabilidade não corrigida do Windows, CVE-2025-9491, para lançar ataques de ciberespionagem contra pessoal diplomático na Bélgica, Hungria e outros estados membros da União Europeia entre setembro e outubro de 2025.
A cadeia de ataque começa com e-mails de spear phishing que carregam um link malicioso. As vítimas são atraídas para uma página de login falsa da Microsoft que se disfarça como uma verificação de credenciais genuína vinculada a reuniões da Comissão Europeia ou workshops da OTAN. Depois que o destino abre o link, um arquivo compactado executa um atalho malicioso (. LNK). Esse arquivo ativa um script do PowerShell que instala o trojan de acesso remoto PlugX por meio do sideload de DLL de um utilitário de assistente de impressora Canon assinado. Um documento PDF chamariz aparece na tela para distrair o usuário enquanto o malware opera silenciosamente.
Pesquisadores de segurança do Arctic Wolf Labs estado com grande confiança de que UNC6384 é a força por trás desta campanha. Sua avaliação é baseada em sobreposições de infraestrutura, táticas e ferramentas com operações UNC6384 documentadas anteriormente. Embora o grupo esteja vinculado ao ecossistema de espionagem mais amplo da China, incluindo o Mustang Panda (também conhecido como TEMP. Hex), os atores, neste caso, estão operando com um conjunto refinado de ferramentas e métodos furtivos.
A vulnerabilidade que está sendo explorada, CVE-2025-9491, foi identificada pela primeira vez pelos pesquisadores da Trend Micro em março de 2025. Isso afeta como o Windows lida com o atalho (. LNK) e permite que invasores executem código arbitrário remotamente. A Microsoft reconheceu a falha, mas a classificou como não justificando imediatamente um patch de emergência, uma decisão que os críticos dizem ter deixado muitos sistemas expostos.
As vítimas desta campanha incluem diplomatas e organizações governamentais em toda a Europa. Embora a lista completa de entidades afetadas não tenha sido divulgada publicamente, o direcionamento de redes diplomáticas europeias sugere um foco na coleta de inteligência, em vez de simplesmente ganhos financeiros. Ao obter acesso a credenciais, e-mails internos e recursos de rede, os invasores podem monitorar as comunicações, reposicionar-se para novas invasões e potencialmente permitir interrupções, se necessário.
A defesa contra um dia zero dessa natureza apresenta desafios significativos porque a intrusão começa com o que parece ser um arquivo ou documento legítimo. O uso de ferramentas internas do Windows, binários assinados e cargas mínimas permite que os invasores evitem muitas soluções de segurança tradicionais que se concentram em assinaturas de malware ou ameaças conhecidas. Para organizações nos setores diplomático, governamental ou de defesa, o incidente destaca a importância da detecção baseada em comportamento, aplicação estrita de acesso com privilégios mínimos e gerenciamento imediato de patches.
Para proteger as redes de forma eficaz, os especialistas recomendam priorizar a remoção de sistemas voltados para a Internet que lidam com credenciais confidenciais, aplicando a autenticação multifator em todas as contas e mantendo um monitoramento rigoroso da atividade de login remoto. A detecção rápida de movimento lateral externo, especialmente após a execução de arquivos ou processos incomuns, torna-se essencial. Com vulnerabilidades de dia zero, a janela para exploração geralmente se abre imediatamente após a divulgação, o que significa que atrasos na aplicação de patches ou alterações de configuração aumentam drasticamente o risco.
A abordagem do UNC6384 marca uma mudança nas operações cibernéticas vinculadas ao Estado. Enquanto as campanhas anteriores associadas ao grupo ou suas afiliadas frequentemente enfatizavam resultados destrutivos, como limpeza de dados ou interrupções de infraestrutura, a atividade atual se concentra no acesso furtivo, roubo de credenciais e presença de longo prazo. Essa mudança sugere que o adversário está colocando espionagem e reconhecimento em camadas à frente de possíveis operações disruptivas, e que os defensores devem assumir ameaças persistentes mesmo quando nenhum dano imediato é visível.
Para diplomatas e organizações governamentais europeias, as implicações são graves. Se o acesso não autorizado continuar sem verificação, isso pode levar ao monitoramento prolongado de comunicações confidenciais, comprometimento da propriedade intelectual ou posicionamento para interferência futura. Como as redes diplomáticas geralmente se interconectam com sistemas de segurança nacional, defesa e infraestrutura crítica, uma violação desse tipo pode formar a base para uma vantagem estratégica mais ampla.
Embora a UNC6384 seja a entidade mais intimamente ligada à campanha, a atribuição permanece inerentemente complexa, e nem as vítimas nem a Microsoft confirmaram publicamente o escopo completo da intrusão. No entanto, as evidências documentadas de explorações de atalho, carregamento lateral de DLL e implantação do PlugX se alinham fortemente com os padrões observados em operações anteriores alinhadas à China. As organizações devem, portanto, tratar qualquer atalho suspeito, processo remoto ou comportamento de aplicativo confiável como indicadores potenciais de comprometimento.
Este incidente é um lembrete de que mesmo os ambientes diplomáticos de ponta permanecem vulneráveis a ameaças persistentes avançadas equipadas com ferramentas de dia zero. Para os defensores, a prioridade imediata é fechar as portas que os atores de dia zero exploram. Aplicação de patches quando possível, isolamento de ativos e monitoramento de anomalias comportamentais. Uma postura proativa, prontidão contínua e coordenação entre governo, indústria e parceiros internacionais agora são essenciais para manter a resiliência diplomática e de segurança cibernética.