Un actor de amenazas afiliado a China conocido como UNC6384 se ha relacionado con un nuevo conjunto de ataques que explotan una vulnerabilidad de golpe directo de Windows sin parchear para atacar entidades diplomáticas y gubernamentales europeas entre septiembre y octubre de 2025.
La actividad tuvo como objetivo organizaciones diplomáticas en Hungría, Bélgica, Italia y Países Bajos, así como agencias gubernamentales en Serbia, dijo Arctic Wolf en un crónica técnico publicado el jueves.
“La prisión de ataque comienza con correos electrónicos de phishing que contienen una URL incrustada que es la primera de varias etapas que conducen a la entrega de archivos LNK maliciosos relacionados con reuniones de la Comisión Europea, talleres relacionados con la OTAN y eventos de coordinación diplomática multilateral”, dijo la compañía de ciberseguridad.
Los archivos están diseñados para explotar ZDI-CAN-25373 y desencadenar una prisión de ataque de varias etapas que culmina con la implementación del malware PlugX mediante la carga anexo de DLL. PlugX es un troyano de golpe remoto todavía conocido como Destroy RAT, Kaba, Korplug, SOGU y TIGERPLUG.
UNC6384 fue objeto de un investigación flamante realizado por Google Threat Intelligence Group (GTIG), que lo describió como un corro con superposiciones tácticas y de herramientas con un corro de hackers conocido como Mustang Panda. Se ha observado que el actor de amenazas entrega una cambio de PlugX residente en memoria indicación SOGU.SEC.
La última ola de ataques utiliza correos electrónicos de phishing con señuelos diplomáticos para atraer a los destinatarios a destapar un archivo adjunto desleal diseñado para explotar ZDI-CAN-25373, una vulnerabilidad que ha sido utilizada por múltiples actores de amenazas desde 2017 para ejecutar comandos maliciosos ocultos en la máquina de una víctima. Tiene un seguimiento oficial como CVE-2025-9491 (puntuación CVSS: 7,0)
La existencia del error fue informada por primera vez por los investigadores de seguridad Peter Girnus y Aliakbar Zahravi en marzo de 2025. Un crónica posterior de HarfangLab encontró que un corro de ciberespionaje conocido como XDSpy todavía había abusado de la deficiencia para distribuir un malware basado en Go llamado XDigo en ataques dirigidos a entidades gubernamentales de Europa del Este en marzo de 2025.
En ese momento, Microsoft le dijo a The Hacker News que Microsoft Defender cuenta con detecciones para detectar y aislar esta actividad de amenaza, y que Smart App Control proporciona una capa adicional de protección al aislar archivos maliciosos de Internet.
Específicamente, el archivo LNK está diseñado para ejecutar un comando de PowerShell para decodificar y extraer el contenido de un archivo TAR y, simultáneamente, mostrar un documento PDF señuelo al adjudicatario. El archivo contiene tres archivos: una utilidad legítima de asistente de impresora Canon, una DLL maliciosa denominada CanonStager que se descarga utilizando el binario y una carga útil cifrada de PlugX (“cnmplog.dat”) que inicia la DLL.
“El malware proporciona capacidades integrales de golpe remoto que incluyen ejecución de comandos, registro de teclas, operaciones de carga y descarga de archivos, establecimiento de persistencia y amplias funciones de agradecimiento del sistema”, dijo Arctic Wolf. “Su edificación modular permite a los operadores ampliar la funcionalidad a través de módulos complementarios adaptados a requisitos operativos específicos”.
PlugX todavía implementa varias técnicas anti-análisis y controles anti-depuración para resistir los esfuerzos por descomprimir sus componentes internos y acontecer desapercibidos. Logra la persistencia mediante una modificación del Registro de Windows.
Arctic Wolf dijo que los artefactos de CanonStager encontrados a principios de septiembre y octubre de 2025 han sido testigos de una disminución constante en su tamaño de aproximadamente 700 KB a 4 KB, lo que indica un mejora activo y su progreso con destino a una útil mínima capaz de conseguir sus objetivos sin dejar mucha huella forense.
Adicionalmente, en lo que se percibe como un refinamiento del mecanismo de entrega de malware, se descubrió que UNC6384 aprovecha un archivo de aplicación HTML (HTA) a principios de septiembre para cargar un JavaScript forastero que, a su vez, recupera las cargas maliciosas de un subdominio de red frente a la cúmulo(.).
“El enfoque de la campaña en las entidades diplomáticas europeas involucradas en la cooperación de defensa, la coordinación de políticas transfronterizas y los marcos diplomáticos multilaterales se alinea con los requisitos de inteligencia estratégica de la República Popular China relacionados con la cohesión de la alianza europea, las iniciativas de defensa y los mecanismos de coordinación de políticas”, concluyó Arctic Wolf.
