Spionnen China misbruiken Windows-fout voor aanval op Europese diplomaten

Beveiligingsbedrijf Arctic Wolf schrijft de spionagecampagne toe aan UNC6384, ook bekend als Mustang Panda of Twill Typhoon. Deze groep, die vermoedelijk door Beijing wordt gesteund, zette de aanval op in september en oktober 2025, waarbij diplomaten tijdens conferenties werden geviseerd.

De spionnen maakten gebruik van een Windows shortcut-kwetsbaarheid (ZDI-CAN-25373, ook wel CVE-2025-9491) die in maart van dit jaar werd onthuld, maar waarvoor Microsoft nog geen beveiligingsupdate heeft uitgebracht. De fout stelt aanvallers in staat om commando’s te verbergen en uit te voeren binnen een LNK-bestand (Windows-snelkoppeling).

De aanval begon met phishing-e-mails die gedetailleerde, actuele lokmiddelen gebruikten rondom thema’s als Europese defensie en grensoverschrijdende infrastructuur. Deze e-mails bevatten een kwaadaardig LNK-bestand, zoals ‘Agenda_Meeting 26 Sep Brussels.lnk’, met een PDF als lokaas over een echte Europese Commissie vergadering.

Gebruik van PlugX Malware en verlopen certificaat

Zodra het LNK-bestand wordt uitgevoerd, start het een complexe aanvalsketen, waarbij DLL side-loading wordt toegepast. Hierbij wordt een legitiem, maar met een verlopen digitaal certificaat ondertekend, Canon printerhulpprogramma misbruikt om de kwaadaardige code te laden.

De uiteindelijke payload is de beruchte PlugX malware, een Remote Access Trojan (RAT) die al sinds 2008 een favoriet is van Chinese spionagegroepen. PlugX geeft de aanvallers volledige afstandsbediening over de geïnfecteerde machines voor het stelen van bestanden, keylogging en systeemverkenning.

Volgens Arctic Wolf waren diplomaten in België, Hongarije, Italië en Nederland, evenals Servische overheidsinstellingen, het doelwit. De campagne toont de snelle adoptie van recent ontdekte kwetsbaarheden door UNC6384. Microsoft heeft nog niet gereageerd op vragen over de exploitatie van de Windows-fout.