Um grupo de hackers associado à China está a explorar uma vulnerabilidade de segurança grave e ainda por corrigir no Windows, conhecida como "zero-day", para atacar diplomatas na Hungria, Bélgica e outras nações europeias. A campanha de ciberespionagem visa monitorizar comunicações e roubar dados sensíveis.
Segundo uma investigação dos Arctic Wolf Labs, a campanha foi atribuída ao grupo UNC6384, também conhecido como Mustang Panda, um ator conhecido por operações de espionagem alinhadas com os interesses estratégicos chineses.
Como funciona o ataque de ciberespionagem
A cadeia de ataque começa com emails de spearphishing cuidadosamente elaborados. As mensagens fraudulentas são disfarçadas de convites ou documentos relacionados com eventos diplomáticos, como workshops da NATO sobre aquisições de defesa ou reuniões da Comissão Europeia sobre facilitação de fronteiras.
Estes emails contêm ficheiros de atalho maliciosos (.LNK) que exploram uma vulnerabilidade de alta severidade no Windows, registada como CVE-2025-9491. Uma vez que a vítima abre o ficheiro, o sistema é infetado com o PlugX, um trojan de acesso remoto (RAT) que permite aos atacantes ganhar persistência no sistema comprometido.
Análises recentes de investigadores da StrikeReady revelam que o âmbito dos alvos se expandiu nas últimas semanas. Inicialmente focados em entidades húngaras e belgas, os ataques visam agora também agências governamentais sérvias e entidades diplomáticas de Itália e dos Países Baixos.
Uma falha conhecida e amplamente explorada
A vulnerabilidade CVE-2025-9491 reside na forma como o Windows processa os ficheiros .LNK, permitindo que os atacantes escondam comandos maliciosos dentro da estrutura do atalho. Isto permite executar código arbitrário no sistema da vítima sem o seu conhecimento, bastando para isso que o utilizador abra o ficheiro ou visite uma página maliciosa.
Apesar de ser uma falha grave, a Microsoft ainda não lançou uma atualização de segurança para a corrigir. Em março de 2025, a Trend Micro já tinha alertado que esta vulnerabilidade estava a ser amplamente explorada por, pelo menos, 11 grupos de cibercrime e patrocinados por estados, incluindo nomes como Evil Corp, Kimsuky (APT43) e SideWinder.
Como se pode proteger
Na ausência de uma correção oficial por parte da Microsoft, os especialistas em segurança recomendam que as organizações restrinjam ou bloqueiem o uso de ficheiros .LNK nas suas redes. Adicionalmente, é aconselhável bloquear as ligações à infraestrutura de comando e controlo (C2) identificada pelos investigadores dos Arctic Wolf Labs para mitigar o risco de ataques em curso.
Nenhum comentário
Seja o primeiro!