Hackers chineses exploram falha zero-day do Windows para espionar diplomatas europeus

Um grupo hacker vinculado à China está explorando uma vulnerabilidade zero-day no Windows em ataques direcionados a diplomatas de países europeus, incluindo Hungria e Bélgica. De acordo com pesquisadores da Arctic Wolf Labs, a campanha de espionagem começa com e-mails de spear phishing cuidadosamente elaborados, que utilizam arquivos LNK maliciosos com temas ligados a eventos diplomáticos e de defesa da OTAN, reuniões da Comissão Europeia e outros encontros internacionais.

Esses arquivos exploram uma falha crítica no Windows, identificada como CVE-2025-9491, permitindo a instalação do malware PlugX RAT (Remote Access Trojan). Uma vez ativo, o trojan oferece aos invasores controle persistente sobre os sistemas comprometidos, possibilitando o monitoramento de comunicações diplomáticas e o roubo de informações sigilosas.

A campanha foi atribuída ao grupo UNC6384, também conhecido como Mustang Panda, amplamente reconhecido por suas operações de espionagem cibernética em alinhamento com os interesses estratégicos do governo chinês. Inicialmente, as investidas focavam em alvos diplomáticos da Hungria e Bélgica, mas agora se expandiram para agências governamentais da Sérvia e entidades diplomáticas da Itália e dos Países Baixos.

Segundo os pesquisadores da Arctic Wolf Labs e da StrikeReady, a atribuição ao Mustang Panda foi confirmada com alto grau de confiança com base em diversas evidências técnicas, incluindo o uso de ferramentas específicas, táticas recorrentes e infraestrutura compatível com operações anteriores do grupo.

A vulnerabilidade CVE-2025-9491 permite a execução remota de código nos sistemas Windows, mas depende de interação do usuário — como abrir um arquivo ou acessar um link malicioso. O problema está no tratamento de arquivos .LNK, que pode ser explorado para ocultar comandos maliciosos e executar código sem o conhecimento da vítima.

Pesquisadores da Trend Micro já haviam identificado, em março de 2025, que essa falha estava sendo amplamente explorada por pelo menos 11 grupos de hackers patrocinados por Estados e redes criminosas, incluindo Evil Corp, APT43 (Kimsuky), Bitter, APT37, SideWinder, RedHotel, Konni, entre outros. Diversos malwares — como Ursnif, Gh0st RAT e Trickbot — vêm sendo distribuídos por meio dessa vulnerabilidade, tornando o cenário de ameaças ainda mais complexo devido ao uso de plataformas de malware-as-a-service (MaaS).

Apesar da gravidade, a Microsoft afirmou em março que avaliaria a correção da falha, embora ela “não atendesse ao critério para atualização imediata”. Até o momento, nenhum patch oficial foi disponibilizado.

Como medida de mitigação, especialistas recomendam bloquear o uso de arquivos .LNK e restringir conexões com as infraestruturas de comando e controle (C2) identificadas pela Arctic Wolf Labs.

Via - BC