به گزارش کارگروه امنیت سایبربان؛ کارشناسان اعلام کردند که یک عامل تهدید وابسته به چین به نام «UNC6384» با مجموعهای جدید از حملات با سوءاستفاده از یک آسیبپذیری پچ نشده میانبر ویندوز برای هدف قرار دادن نهادهای دیپلماتیک و دولتی اروپایی بین سپتامبر و اکتبر 2025 مرتبط است.
شرکت «Arctic Wolf» در یک گزارش فنی ادعا کرد که این عامل تهدید، سازمانهای دیپلماتیک در مجارستان، بلژیک، ایتالیا و هلند و همچنین سازمانهای دولتی در صربستان را هدف قرار داده است.
این شرکت امنیت سایبری عنوان کرد:
«زنجیره حمله با ایمیلهای فیشینگ هدفمند حاوی یک URL جاسازی شده آغاز میشود که اولین مرحله از چندین مرحلهای است که منجر به تحویل فایلهای مخرب «LNK» با موضوع جلسات کمیسیون اروپا، کارگاههای مرتبط با ناتو و رویدادهای هماهنگی دیپلماتیک چندجانبه میشود.»
این فایلها برای سوءاستفاده از «ZDI-CAN-25373» برای ایجاد یک زنجیره حمله چند مرحلهای طراحی شدهاند که با استفاده از بارگذاری جانبی DLL به استقرار بدافزار «PlugX» منجر میشود. PlugX یک تروجان دسترسی از راه دور است که به عنوان «Destroy RAT»، کابا (Kaba)، «Korplug»، «SOGU» و «TIGERPLUG» نیز شناخته میشود. UNC6384 موضوع تجزیه و تحلیل اخیر گروه اطلاعات تهدید گوگل (GTIG) بود که آن را به عنوان خوشهای با همپوشانیهای تاکتیکی و ابزاری با یک گروه هکری معروف به موستانگ پاندا (Mustang Panda) توصیف کرد. ظاهراً این عامل تهدید، نوعی از PlugX مستقر در حافظه به نام «SOGU.SEC» را ارائه میدهد.
آخرین موج حمله از ایمیلهای فیشینگ با فریبهای دیپلماتیک برای ترغیب گیرندگان به باز کردن یک پیوست جعلی استفاده میکند که برای سوءاستفاده از ZDI-CAN-25373 طراحی شده، آسیبپذیری که توسط چندین عامل تهدید از سال ۲۰۱۷ برای اجرای دستورات مخرب پنهان روی دستگاه قربانی استفاده شده است. این آسیبپذیری رسماً با شناسه CVE-2025-9491 (امتیاز CVSS: 7.0) ردیابی میشود.
وجود این اشکال اولین بار توسط محققان امنیتی، پیتر گیرنوس (Peter Girnus) و علیاکبر زهراوی، در مارس 2025 گزارش شد. گزارش بعدی از «HarfangLab» نشان داد که این نقص همچنین توسط یک خوشه جاسوسی سایبری معروف به «XDSpy» برای توزیع یک بدافزار مبتنی بر Go به نام «XDigo» در حملاتی که نهادهای دولتی اروپای شرقی را در مارس 2025 هدف قرار میدادند، مورد سوءاستفاده قرار گرفته است.
در آن زمان، مایکروسافت گفت که «Microsoft Defender» دارای شناساییهایی برای تشخیص و مسدود کردن این فعالیت تهدیدآمیز است و «Smart App Control» با مسدود کردن فایلهای مخرب از اینترنت، یک لایه محافظتی اضافی ارائه میدهد.
به طور خاص، فایل LNK به منظور اجرای یک دستور پاورشِل (PowerShell) برای رمزگشایی و استخراج محتویات یک آرشیو TAR و نمایش همزمان یک سند پیدیاف جعلی به کاربر طراحی شده است. این آرشیو شامل سه فایل است: یک ابزار کمکی چاپگر قانونی کَنون (Canon)، یک DLL مخرب به نام «CanonStager»، که با استفاده از فایل باینری به صورت جانبی بارگذاری میشود و یک فایل رمزگذاری شدهPlugX (cnmplog.dat) که توسط DLL راهاندازی میشود.
آرکتیک ولف گفت:
«این بدافزار قابلیتهای دسترسی از راه دور جامعی از جمله اجرای دستور، ثبت کلید، عملیات آپلود و دانلود فایل، ایجاد پایداری و عملکردهای گسترده شناسایی سیستم را فراهم میکند. معماری ماژولار آن به اپراتورها اجازه میدهد تا از طریق ماژولهای افزونه متناسب با نیازهای عملیاتی خاص، عملکرد خود را گسترش دهند.»
پلاگایکس همچنین تکنیکهای مختلف ضد تجزیه و تحلیل و بررسیهای ضد اشکالزدایی را برای مقاومت در برابر تلاشها برای باز کردن اجزای داخلی و پنهان شدن از دید رادار پیادهسازی میکند. این بدافزار از طریق اصلاح رجیستری ویندوز به پایداری دست مییابد.
آرکتیک ولف گفت که مصنوعات CanonStager که اوایل سپتامبر و اکتبر 2025 یافت شدهاند، شاهد کاهش مداوم اندازه از تقریباً 700 کیلوبایت به 4 کیلوبایت بودهاند که نشان دهنده توسعه فعال و تکامل آن به ابزاری حداقلی است که قادر به دستیابی به اهداف خود بدون برجای گذاشتن ردپای پزشکی قانونی زیادی است. علاوه بر این، در آنچه که به عنوان اصلاح مکانیسم انتقال بدافزار تلقی میشود، مشخص شده که UNC6384 اوایل سپتامبر سال جاری از یک فایلHTML Application (HTA) برای بارگذاری یک جاوا اسکریپت خارجی استفاده میکند که به نوبه خود، بارهای مخرب را از یک زیر دامنه cloudfront[.]net بازیابی میکند.
این شرکت امنیت سایبری درنهایت اظهار داشت که تمرکز این کمپین بر نهادهای دیپلماتیک اروپایی درگیر در همکاریهای دفاعی، هماهنگی سیاستهای فرامرزی و چارچوبهای دیپلماتیک چندجانبه با الزامات اطلاعات استراتژیک جمهوری خلق چین در مورد انسجام اتحاد اروپا، ابتکارات دفاعی و مکانیسمهای هماهنگی سیاست همسو است.
