Een recent ontdekte zero-day-kwetsbaarheid in Windows wordt momenteel actief misbruikt door hackers om Europese diplomaten in verschillende EU-lidstaten, waaronder België en Hongarije, aan te vallen, waarschuwen onderzoekers.
Cybersecuritybedrijf Arctic Wolf Labs, dat het aanvalspatroon heeft blootgelegd, koppelt de campagne aan de Chinees-gelieerde hackgroep UNC6384, die vermoedelijk nauwe banden heeft met andere door de staat gesteunde groepen, zoals Mustang Panda. De aanvallers maakten misbruik van een ongepatchte Windows-kwetsbaarheid, bekend als CVE-2025-9491, om kwaadaardige code uit te voeren en volledige controle over geïnfecteerde systemen te verkrijgen.
Volgens het rapport begon de campagne met spear-phishingmails die vermomd waren als uitnodigingen voor vergaderingen van de Europese Commissie of NAVO-workshops. Slachtoffers werden naar een valse Microsoft-inlogpagina gelokt, waar ze onbewust een kwaadaardig ZIP-bestand downloadeden dat geïnfecteerde .LNK-bestanden bevatte.
Bij het openen toonde het bestand een legitiem ogend PDF-document als afleiding, terwijl op de achtergrond PlugX werd geïnstalleerd, een krachtige remote access trojan (RAT) die vaak wordt gebruikt bij spionageactiviteiten. De malware kan gevoelige gegevens stelen, communicatie monitoren en zich lateraal binnen netwerken verplaatsen.
“Deze bestanden maken gebruik van de nieuw onthulde Windows-kwetsbaarheid om malware in meerdere fasen uit te rollen, met als einddoel het laden van PlugX via legitieme Canon-softwarecomponenten,” aldus Arctic Wolf.
De zero-day werd begin 2025 voor het eerst waargenomen door Trend Micro en is sindsdien ingezet in meerdere campagnes door zowel cybercriminelen als door de staat gesteunde groepen. Microsoft heeft nog geen beveiligingsupdate uitgebracht en zegt dat het probleem momenteel geen noodpatch vereist.
In augustus hebben we ook een rapport gepubliceerd over hackers die wereldwijd Windows-gebruikers aanvallen via kwaadaardige .LNK-bestanden die e-mailbeveiliging wisten te omzeilen.
