河北
安全研究人员警告称,中国国家支持的威胁行为者一直在利用Windows零日漏洞,攻击整个欧洲大陆的外交官。
安全研究机构Arctic Wolf Labs最近表示,他们观察到一个被称为野马熊猫(UNC6384)的国家行为者向匈牙利、比利时、塞尔维亚、意大利和荷兰的外交官发送了定向网络钓鱼邮件。
有趣的是,受害者中包括匈牙利和塞尔维亚,这两个国家与中国有着密切的联系,在很多方面被认为是中国的盟友和合作伙伴——尽管在2025年8月,曝光中国正在监视另一个主要盟友——俄罗斯。
滥用 .LNK 文件
研究人员解释说,这些网络钓鱼邮件的主题是围绕北约防务采购研讨会、欧洲委员会边境便利化会议以及其他类似的外交活动。
这些邮件中包含一个恶意的 .LNK 文件,该文件是通过滥用 CVE-2025-9491 制作的,用于部署一种名为 PlugX 的远程访问木马(RAT)。这个 RAT 让操作者可以持续访问被攻陷的系统,还能窃听通信、提取文件等功能。
这个漏洞源于Windows处理快捷方式文件的方式,被称为Shell Link机制中的用户界面误表示问题。这个漏洞允许一个精心制作的.LNK文件隐藏真实的命令行,导致用户在运行或预览快捷方式时执行一个不同的恶意命令。
因为利用这个漏洞需要用户的交互,所以它的严重性评分相对较低,为7.8/10(高)。不过,研究人员发现了数百个(甚至可能是数千个).LNK样本,这些样本与长期的间谍活动有关,其中一些样本可以追溯到2017年。
“北极狼实验室高度自信地认为,这次网络攻击活动可归因于UNC6384,一个与中国相关的网络间谍威胁行为者,”研究人员表示。
“这一归因基于多条相互交汇的证据,包括恶意软件工具、战术程序、目标一致性以及与之前记录的UNC6384行动的基础设施存在重叠。”
来自于 BleepingComputer
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
