Ķīnas valsts atbalstītie hakeri izmanto nezināmu Windows ievainojamību, lai ar pikšķerēšanas e-pastiem uzbruktu Eiropas diplomātiem.
Pētnieki brīdina, ka ar Ķīnas sponsorētie kibernoziedznieku grupējumi izmanto nezināmu (zero-day) ievainojamību operētājsistēmā Windows. Mērķis? Vēršanās pret diplomātiskajām pārstāvniecībām visā Eiropā.
Pētniecības uzņēmums Arctic Wolf Labs ziņo, ka ir novērojis valsts līmeņa draudu aktoru, kas pazīstams kā Mustang Panda (UNC6384). Kibernoziedznieku grupējums ir izsūtījis mērķētus pikšķerēšanas e-pastus (angļu val. spear-phishing) diplomātiem Ungārijā, Beļģijā, Serbijā, Itālijā un Nīderlandē.
Interesanti, ka starp uzbrukuma mērķiem ir arī Ungārija un Serbija, jo tās ir divas valstis, kuras ar Ķīnu uztur ciešas attiecības un daudzās jomās tiek uzskatītas par tās sabiedrotajām. Tomēr 2025. gada augustā atklājās, ka Ķīnas interesēs ir izspiegot pat savu stratēģisko partneri – Krieviju.
Ļaunprātīgo .LNK datņu izmantošana
Pētnieki skaidro, ka pikšķerēšanas e-pasti bijuši tematiski sasaistīti ar NATO aizsardzības iepirkumu semināriem, Eiropas Komisijas robežu pārvaldības sanāksmēm un citiem līdzīgiem diplomātiskiem notikumiem.
E-pastos bijusi pievienota ļaunprātīga saīsnes datne (.LNK), kas izmantoja CVE-2025-9491 ievainojamību, lai instalētu attālinātās piekļuves trojāni (Remote Access Trojan, RAT), kas pazīstams kā PlugX. Šī ļaunprogrammatūra uzbrucējiem nodrošina pastāvīgu piekļuvi inficētajai sistēmai, kā arī iespēju noklausīties saziņu, nopludināt failus un veikt citas spiegošanas darbības.
Ievainojamības cēlonis ir saistīts ar to, kā Windows apstrādā saīsnes datnes (.LNK), un tiek raksturots kā lietotāja saskarnes maldināšanas problēma Shell Link mehānismā. Tā ļauj īpaši izveidotai saīsnes datnei slēpt reālo komandrindas izpildi. Tas nodrošina, ka, atverot vai priekšskatot saīsni, tiek palaista cita – kaitīga – komanda.
Tā kā ievainojamības izmantošanai nepieciešama lietotāja darbība, tai piešķirts salīdzinoši zems, bet gana bīstamības novērtējums – 7.8/10. Tomēr pētnieki atklājuši simtiem (iespējams, pat tūkstošiem) ļaunprātīgu .LNK datņu paraugu, kas saistīti ar ilgstošām spiegošanas kampaņām. Daži no tiem datējami pat ar 2017. gadu.
“Arctic Wolf Labs ar augstu pārliecības pakāpi secina, ka šī kampaņa ir saistāma ar UNC6384 – Ķīnai piederošu kiberizlūkošanas draudu aktoru,” teikts pētnieku ziņojumā.
“Šis atribūcijas secinājums balstās uz vairākiem savstarpēji saskanīgiem pierādījumiem, tostarp izmantoto ļaunprogrammatūru, taktiskajām procedūrām, mērķu izvēles atbilstību un infrastruktūras pārklāšanos ar iepriekš dokumentētām UNC6384 operācijām,” norāda Arctic Wolf Labs.
Avots: TechRadar
