- Mustang Panda menggunakan CVE-2025-9491 untuk menargetkan diplomat Eropa melalui phishing dan file .LNK yang berbahaya
- Cacat Windows Shell Link yang dieksploitasi menyebarkan PlugX RAT untuk akses terus-menerus dan eksfiltrasi data
- Ratusan sampel menghubungkan zero-day dengan kampanye spionase Tiongkok yang telah berlangsung lama setidaknya sejak tahun 2017
Pelaku ancaman yang disponsori negara Tiongkok telah menyalahgunakan kerentanan zero-day Windows untuk menargetkan diplomat di seluruh benua Eropa, demikian peringatan para peneliti keamanan.
Peneliti keamanan Arctic Wolf Labs baru-baru ini mengatakan bahwa mereka mengamati aktor negara yang dikenal sebagai Mustang Panda (UNC6384) mengirimkan email spear-phishing kepada diplomat di Hongaria, Belgia, Serbia, Italia, dan Belanda.
Anehnya, di antara korbannya adalah Hongaria dan Serbia, dua negara yang memiliki hubungan kuat dengan Tiongkok dan, dalam banyak hal, dianggap sebagai sekutu dan mitra Tiongkok – meskipun pada bulan Agustus 2025 terungkap bahwa Tiongkok sedang memata-matai sekutu besar lainnya – Rusia.
Menyalahgunakan file .LNK
Email phishing tersebut bertema seputar lokakarya pengadaan pertahanan NATO, pertemuan fasilitasi perbatasan Komisi Eropa, dan acara diplomatik serupa lainnya, jelas para peneliti.
Ini membawa file .LNK berbahaya yang, melalui penyalahgunaan CVE-2025-9491, dibuat untuk menyebarkan Trojan Akses Jarak Jauh (RAT) yang disebut PlugX. RAT ini memberi operatornya akses terus-menerus ke sistem yang disusupi, serta kemampuan untuk menguping komunikasi, mengekstrak file, dan banyak lagi.
Bug ini berasal dari cara Windows menangani file pintasan dan digambarkan sebagai masalah representasi UI yang salah dalam mekanisme Shell Link. Ini memungkinkan file .LNK yang dibuat menyembunyikan baris perintah sebenarnya sehingga perintah berbahaya yang berbeda berjalan saat pengguna menjalankan, atau mempratinjau, pintasan.
Karena eksploitasi memerlukan interaksi pengguna, bug tersebut diberi skor tingkat keparahan yang relatif rendah yaitu 7,8/10 (tinggi). Namun, para peneliti menemukan ratusan (bahkan mungkin ribuan) sampel .LNK, yang mengaitkan kelemahan tersebut dengan kampanye spionase yang sudah berjalan lama, dengan beberapa contoh berasal dari tahun 2017.
“Arctic Wolf Labs menilai dengan keyakinan tinggi bahwa kampanye ini disebabkan oleh UNC6384, aktor ancaman spionase dunia maya yang berafiliasi dengan Tiongkok,” kata para peneliti.
“Atribusi ini didasarkan pada berbagai bukti yang menyatu, termasuk perangkat lunak perusak perkakas, prosedur taktis, penyelarasan penargetan, dan infrastruktur tumpang tindih dengan operasi UNC6384 yang didokumentasikan sebelumnya.”
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
