Kiberbiztonság ma: Kínai kibertevékenység magyar diplomaták ellen (is)

Kiberbiztonság ma: Kínai kibertevékenység magyar diplomaták ellen (is)

MediaVideo
Yanac

Az Arctic Wolf jelentése szerint az UNC6384 egy többlépcsős kémkampányt vezetett európai diplomáciai célpontok ellen, ahol a TTP-k középpontjában egy Windows .lnk-gyengeség (CVE-2025-9491) és a PlugX (SOGU.SEC) RAT állt. A kezdeti hozzáférést célzott spear-phishing e-mailek biztosították, melyek letöltésre csábító URL-eket és LNK fájlokat tartalmaztak. Az LNK a sebezhetőséget kihasználva egy obfuszkált PowerShell parancsot indított, amely egy TAR-archívumot dekódolt és kicsomagolt a %Temp%-be — miközben egy legitimnek tűnő PDF-decoy megjelent a felhasználónál.

A kibontott komponensek között egy valódi, aláírt Canon segédprogram (cnmpaui.exe), egy rosszindulatú cnmpaui.dll és egy titkosított payload szerepelt. A támadók DLL side-loadinggal, a Canon bináris „megvezetésével” vitték be a PlugX-ot, amely memóriában futva távoli hozzáférést és adatgyűjtést tett lehetővé. A CanonStager töltő jelentősen csökkent méretben is megjelent, jelezve a gyors iterációt a detektálás elkerülésére.

Az UNC6384 párhuzamosan alkalmazta a captive-portal hijack módszert és a hagyományos spear-phishinget, azaz hálózati forgalom-átirányítást is használhatott, hogy hiteles frissítésnek álcázott csomagokat kínáljon célpontoknak. A c2-domének és IOC-k listáját (pl. racineupci[.]org, dorareco[.]net) az Arctic Wolf közölte, ami konkrét hunting és blokklistázási lépésekhez használható.

Összefoglalva a TTP-k: gyors sebezhetőség-adaptáció (6 hónapon belül), célzott diplomáciai témák a jól értesült kínai hírszerzőktől, LNK-alapú fájlindítás + PowerShell-dekódolás, DLL side-loading valódi, aláírt binárisokkal (innen is várjuk a Canon magyarázatát az ellopott digitális aláírással kapcsolatban), memóriában futó PlugX telepítés és több csatornás kézbesítés (captive portal + spear-phish). A védekezésben a jelek szerint a Kínával kialakított kiváló diplomáciai kapcsolat nem sokat segít, ezzel szemben a kiberbiztonsági tudatosság, a zero trust környezet és a számítógépeken minimum a legkisebb jogosultság elvének használata igen. Amúgy erre a sebezhetőségre nincsen hivatalos frissítés, bár legalább március óta ismert. A Microsoft-nál ezek szerint nem érte el az ingerküszöböt a 7,8-as CVSS…

Források:
UNC6384 Weaponizes ZDI-CAN-25373 Vulnerability to Deploy PlugX Against Hungarian and Belgian Diplomatic Entities: https://arcticwolf.com/resources/blog/unc6384-weaponizes-zdi-can-25373-vulnerability-to-deploy-plugx/
Suspected Chinese snoops weaponize unpatched Windows flaw to spy on European diplomats: https://www.theregister.com/2025/10/30/suspected_chinese_snoops_abuse_unpatched/
Windows zero-day actively exploited to spy on European diplomats: https://www.bleepingcomputer.com/news/security/chinese-hackers-exploit-windows-zero-day-to-spy-on-european-diplomats/The Prof and The GeekRead More