China-Linked Hackers Exploit Windows Shortcut Flaw to Target European Diplomats

2 minute de lecture

Mis à jour : October 31, 2025

Activité des pirates informatiques liés à la Chine ciblant des diplomates européens

Un groupe de pirates informatiques affilié à la Chine, connu sous le nom d’UNC6384, a exploité une vulnérabilité non corrigée dans les raccourcis Windows pour cibler des entités diplomatiques et gouvernementales européennes entre septembre et octobre 2025. Les attaques visaient des organisations en Hongrie, en Belgique, en Italie, aux Pays-Bas et des agences gouvernementales en Serbie.

La chaîne d’attaque débute par des e-mails d’hameçonnage ciblés contenant des URL qui mènent à des fichiers .LNK malveillants. Ces fichiers sont conçus pour exploiter la vulnérabilité ZDI-CAN-25373, permettant l’exécution de commandes cachées sur la machine de la victime. Cette vulnérabilité est officiellement suivie sous la dénomination CVE-2025-9491 (score CVSS : 7.0).

L’exploitation de cette faille conduit au déploiement du malware PlugX, un cheval de Troie d’accès à distance également connu sous les noms de Destroy RAT, Kaba, Korplug, SOGU et TIGERPLUG. PlugX offre des capacités d’accès à distance complètes, notamment l’exécution de commandes, la journalisation des frappes, le transfert de fichiers, l’établissement de persistance et des fonctions de reconnaissance système. Il utilise un mécanisme de chargement latéral de DLL pour se déployer et met en œuvre des techniques anti-analyse pour échapper à la détection.

Points Clés :

Acteur de la menace : UNC6384 (affilié à la Chine).
Cibles : Entités diplomatiques et gouvernementales européennes.
Période d’activité : Septembre - Octobre 2025.
Vecteur d’attaque initial : E-mails d’hameçonnage ciblés avec des leurres diplomatiques.
Exploitation : Vulnérabilité des raccourcis Windows ZDI-CAN-25373 (CVE-2025-9491).
Charge utile : Malware PlugX (cheval de Troie d’accès à distance).
Méthode de déploiement : Chargement latéral de DLL via un utilitaire Canon légitime et une DLL malveillante (CanonStager).
Objectifs stratégiques : Collecte d’informations sur la cohésion des alliances européennes, les initiatives de défense et les mécanismes de coordination politique, en lien avec les exigences stratégiques de renseignement de la RPC.

Vulnérabilités :

ZDI-CAN-25373 / CVE-2025-9491 : Une vulnérabilité dans les raccourcis Windows permettant l’exécution de commandes cachées.

Recommandations :

Appliquer les correctifs de sécurité disponibles pour Windows afin de corriger la vulnérabilité CVE-2025-9491.
Sensibiliser les utilisateurs aux techniques d’hameçonnage et à l’importance de vérifier la source et le contenu des e-mails et des pièces jointes.
Mettre en œuvre des solutions de sécurité avancées, telles que des antivirus avec des capacités de détection des menaces zero-day et le contrôle des applications.
Surveiller activement les journaux d’activité réseau et système pour détecter les signes d’infection ou d’activité suspecte.
Isoler les systèmes potentiellement compromis et mener des investigations approfondies.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

China-Linked Hackers Exploit Windows Shortcut Flaw to Target European Diplomats

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast