Çin’in istihbarat çıkarlarıyla bağlantılı ve UNC6384 olarak takip edilen bir tehdit aktörü, Eylül ve Ekim 2025 arasında Belçika, Macaristan ve diğer Avrupa Birliği üye ülkelerindeki diplomatik personele karşı siber casusluk saldırıları başlatmak için yamalanmamış bir Windows güvenlik açığı olan CVE-9491-2025’den yararlandı.
Saldırı zinciri, kötü amaçlı bir bağlantı taşıyan hedef odaklı kimlik avı e-postalarıyla başlar. Kurbanlar, Avrupa Komisyonu toplantıları veya NATO çalıştaylarıyla bağlantılı gerçek bir kimlik kontrolü gibi görünen sahte bir Microsoft oturum açma sayfasına çekiliyor. Hedef bağlantıyı açtığında, sıkıştırılmış bir dosya kötü amaçlı bir kısayol (. LNK) dosyası. Bu dosya, imzalı bir Canon yazıcı yardımcısı yardımcı programının DLL yandan yüklemesi yoluyla PlugX uzaktan erişim truva atını yükleyen bir PowerShell komut dosyasını etkinleştirir. Kötü amaçlı yazılım sessizce çalışırken kullanıcının dikkatini dağıtmak için ekranda sahte bir PDF belgesi belirir.
Eyaletteki Arctic Wolf Labs güvenlik araştırmacıları, bu kampanyanın arkasındaki gücün UNC6384 olduğuna dair yüksek güvene sahip. Değerlendirmeleri, daha önce belgelenmiş UNC6384 operasyonlarıyla altyapı, taktik ve araçlardaki örtüşmelere dayanmaktadır. Grup, Mustang Panda (TEMP olarak da bilinir) dahil olmak üzere Çin’in daha geniş casusluk ekosistemine bağlı olsa da. Hex), bu davadaki aktörler rafine bir dizi araç ve gizli yöntemle çalışıyorlar.
İstismar edilen güvenlik açığı CVE-2025-9491, ilk olarak Mart 2025’te Trend Micro araştırmacıları tarafından tespit edildi. Windows’un kısayolu (. LNK) dosyaları ve saldırganların uzaktan rastgele kod yürütmesine olanak tanır. Microsoft, kusuru kabul etti, ancak eleştirmenlerin birçok sistemi açıkta bıraktığını söylediği bir karar olan acil durum yamasını hemen garanti etmeyecek şekilde sınıflandırdı.
Bu kampanyanın kurbanları arasında Avrupa’daki diplomatlar ve devlet kurumları yer alıyor. Etkilenen kuruluşların tam listesi kamuya açıklanmamış olsa da, Avrupa diplomatik ağlarının hedef alınması, yalnızca mali kazançtan ziyade istihbarat toplamaya odaklanıldığını gösteriyor. Saldırganlar, kimlik bilgilerine, dahili e-postalara ve ağ kaynaklarına erişim sağlayarak iletişimleri izleyebilir, daha fazla izinsiz giriş için yeniden konumlandırabilir ve gerekirse potansiyel olarak kesintiye neden olabilir.
Bu nitelikteki bir sıfır güne karşı savunma yapmak önemli zorluklar doğurur çünkü izinsiz giriş, meşru bir dosya veya belge gibi görünen bir şeyle başlar. Yerleşik Windows araçlarının, imzalı ikili dosyaların ve minimum yüklerin kullanılması, saldırganların kötü amaçlı yazılım imzalarına veya bilinen tehditlere odaklanan birçok geleneksel güvenlik çözümünden kaçmasına olanak tanır. Olay, diplomatik, hükümet veya savunma sektörlerindeki kuruluşlar için davranışa dayalı tespitin, en az ayrıcalıklı erişimin sıkı bir şekilde uygulanmasının ve hızlı yama yönetiminin öneminin altını çiziyor.
Ağları etkili bir şekilde korumak için uzmanlar, hassas kimlik bilgilerini işleyen internete yönelik sistemlerin kaldırılmasına öncelik verilmesini, tüm hesaplarda çok faktörlü kimlik doğrulamanın uygulanmasını ve uzaktan oturum açma etkinliğinin sıkı bir şekilde izlenmesini önermektedir. Özellikle olağandışı dosyaların veya işlemlerin yürütülmesinin ardından harici yanal hareketin hızlı bir şekilde algılanması önemli hale gelir. Sıfırıncı gün güvenlik açıklarında, istismar penceresi genellikle ifşadan hemen sonra açılır, bu da yama veya yapılandırma değişikliklerindeki gecikmelerin riski önemli ölçüde artırdığı anlamına gelir.
UNC6384’in yaklaşımı, devlete bağlı siber operasyonlarda bir değişime işaret ediyor. Grup veya bağlı kuruluşlarıyla ilişkili daha önceki kampanyalar genellikle veri silme veya altyapı kesintileri gibi yıkıcı sonuçları vurgularken, mevcut faaliyet gizli erişim, kimlik bilgisi hırsızlığı ve uzun vadeli mevcudiyete odaklanıyor. Bu değişiklik, düşmanın casusluk ve keşifleri potansiyel yıkıcı operasyonlardan önce katmanlandırdığını ve savunucuların, acil bir hasar görülmediğinde bile kalıcı tehditler üstlenmesi gerektiğini gösteriyor.
Avrupalı diplomatlar ve hükümet kuruluşları için bunun sonuçları ciddidir. Yetkisiz erişim kontrol edilmeden devam ederse, hassas iletişimlerin uzun süre izlenmesine, fikri mülkiyetin tehlikeye atılmasına veya gelecekteki müdahaleler için konumlandırmaya yol açabilir. Diplomatik ağlar genellikle ulusal güvenlik, savunma ve kritik altyapı sistemleriyle bağlantılı olduğundan, bu tür bir ihlal daha geniş bir stratejik avantajın temelini oluşturabilir.
UNC6384, kampanyayla en yakından bağlantılı varlık olsa da, atıf doğası gereği karmaşık olmaya devam ediyor ve ne kurbanlar ne de Microsoft, izinsiz girişin tam kapsamını kamuya açık bir şekilde doğrulamadı. Bununla birlikte, kısayol istismarları, DLL yandan yükleme ve PlugX dağıtımına ilişkin belgelenmiş kanıtlar, önceki Çin uyumlu operasyonlarda gözlemlenen modellerle güçlü bir şekilde uyumludur. Bu nedenle kuruluşlar, herhangi bir şüpheli kısayolu, uzak işlemi veya güvenilir uygulama davranışını potansiyel güvenlik ihlali göstergeleri olarak ele almalıdır.
Bu olay, en ileri diplomatik ortamların bile sıfır gün araçlarıyla donatılmış gelişmiş kalıcı tehditlere karşı savunmasız kaldığını hatırlatıyor. Savunucular için acil öncelik, sıfır gün aktörlerinin istismar ettiği kapıları kapatmaktır. Mümkün olduğunda yama uygulama, varlıkları izole etme ve davranışsal anormallikleri izleme. Proaktif bir duruş, sürekli hazırlık ve hükümet, endüstri ve uluslararası ortaklar arasındaki koordinasyon, diplomatik ve siber güvenlik esnekliğini sürdürmek için artık kritik öneme sahiptir.