El grupo chino UNC6384 ha lanzado una campaña de ciberespionaje contra entidades diplomáticas en Hungría, Bélgica y otros países europeos durante septiembre y octubre de 2025, aprovechando la vulnerabilidad de acceso directo de Windows [ZDI-CAN-25373].
El ataque comienza con correos tipo spearphishing que distribuyen archivos LNK maliciosos, usando temas verídicos de conferencias diplomáticas europeas y de la OTAN. Al abrir el archivo, se despliega una cadena de malware que emplea técnicas avanzadas: ejecución de comandos PowerShell ofuscados, descompresión de archivos TAR, y side-loading de DLL maliciosos en utilidades legítimas de impresoras Canon, logrando finalmente la ejecución in-memory del troyano PlugX para mantener persistencia y acceso remoto sigiloso.
La campaña destaca por la rápida evolución en sus métodos y la adopción de la vulnerabilidad poco después de su divulgación pública, expandiendo su alcance de Asia Sudoriental hacia objetivos europeos. El uso de infraestructura C2 distribuida, evasión por DLL side-loading y complejas técnicas anti-análisis refuerzan la sofisticación operativa y complican la defensa.
Principales hallazgos:
- UNC6384 adoptó la vulnerabilidad de Windows a los seis meses de su divulgación.
- Los ataques recurren a temáticas reales de eventos diplomáticos como señuelo.
- El malware PlugX es desplegado usando binarios legítimos y persistencia oculta en el perfil del usuario.
- La infraestructura C2 se apoya en dominios como racineupci[.]org, dorareco[.]net y naturadeco[.]net.
- La evolución del loader CanonStager, de 700 KB a versiones simplificadas de solo 4 KB, evidencia desarrollo activo y adaptación táctica.
Indicadores de compromiso
El informe de Arctic Wolf Labs incluye hashes de ficheros, nombres de directorios, mutex, claves de registro, dominios C2 y YARA rules actualizadas para detectar el malware asociado. Se recomienda revisar endpoints en busca de archivos Canon en directorios inusuales y monitorizar conexiones a los dominios identificados.
Recomendaciones rápidas:
Sin parche oficial disponible para ZDI-CAN-25373, se sugiere bloquear archivos LNK de fuentes dudosas, mapear y bloquear la infraestructura C2 y reforzar la formación en phishing para personal sensible.