Arctic Wolf tarafından yayımlanan yeni bir rapora göre Çin merkezli UNC6384 adlı tehdit aktörü yamanmamış bir Windows kısayol (LNK) güvenlik açığını kullanarak Avrupa’daki diplomatik ve devlet kurumlarına siber saldırılar düzenledi. Saldırıların Eylül ve Ekim 2025 arasında gerçekleştiği hedef alınan ülkeler arasında Macaristan, Belçika, İtalya, Hollanda ve Sırbistan’ın yer aldığı bildirildi.
Windows LNK açığı diplomatik kurumları hedef aldı
Saldırının başlangıcında kurum çalışanlarına yönelik sahte e-postalarla (spear-phishing) başlatılan çok aşamalı bir saldırı zinciri bulunuyor. Bu e-postalarda yer alan bağlantılar Avrupa Komisyonu toplantıları, NATO temalı çalıştaylar veya diplomatik koordinasyon etkinlikleri gibi konularla ilişkilendirilmiş zararlı LNK dosyalarına yönlendiriyor. Dosyalar ZDI-CAN-25373 kodlu güvenlik açığını kullanarak sistemde kötü amaçlı komutların çalıştırılmasına yol açıyor. Bu açık resmi olarak CVE-2025-9491 olarak izleniyor ve CVSS puanı 7.0 olarak değerlendirilmiş durumda.
Açığın sömürülmesi sonucunda saldırı DLL yan yükleme yöntemiyle PlugX adlı zararlı yazılımın sisteme yerleştirilmesiyle sonuçlanıyor. PlugX, Destroy RAT, Korplug, SOGU ve TIGERPLUG adlarıyla da bilinen bir uzaktan erişim truva atı (RAT) türü. Zararlı yazılım saldırganlara sistem üzerinde tam kontrol sağlıyor; komut çalıştırma, dosya yükleme ve indirme, tuş kaydı (keylogging), kalıcılık sağlama ve sistem keşfi gibi işlevleri bulunuyor.
Google Threat Intelligence Group tarafından yapılan analizlere göre UNC6384 araç seti ve taktiksel yöntemleriyle Mustang Panda adlı başka bir Çin bağlantılı hacker grubuyla benzerlik gösteriyor. Grup PlugX’in bellek üzerinde çalışan SOGU.SEC adlı bir varyantını da kullanıyor.
Arctic Wolf’un teknik raporuna göre saldırılarda kullanılan LNK dosyaları bir PowerShell komutuyla arşiv dosyalarını çözümleyip zararlı bileşenleri sisteme yüklerken kullanıcıya sahte bir PDF belgesi gösteriyor. Bu arşivde üç dosya bulunuyor: meşru bir Canon yazıcı yardımcı programı, CanonStager adında kötü amaçlı bir DLL dosyası ve şifrelenmiş PlugX yükü olan “cnmplog.dat”. DLL dosyası bu şifreli veriyi açarak zararlı yazılımı aktif hale getiriyor.
PlugX Windows kayıt defteri üzerinde değişiklik yaparak kalıcılığını sağlıyor ve analiz araçlarını atlatmak için anti-debugging teknikleri uyguluyor. Saldırılarda kullanılan CanonStager bileşeninin boyutu eylül ayından ekim ayına kadar 700 KB’den 4 KB’ye düşmüş durumda. Bu, zararlı kodun aktif şekilde geliştirildiğini ve tespit edilmesini zorlaştıracak şekilde optimize edildiğini gösteriyor.
Eylül başında tespit edilen bir varyantta UNC6384’ün zararlı dosyaları dağıtmak için HTML Application (HTA) tabanlı yeni bir yöntem kullandığı belirtildi. Bu yöntem uzak bir JavaScript dosyası üzerinden CloudFront altyapısındaki bir alt alan adından zararlı yükleri indiriyor. Bu teknik zararlı içeriğin tespit edilmesini daha da güçleştiriyor.
Siber güvenlik uzmanları kampanyanın Avrupa’daki savunma iş birliği sınır ötesi politika koordinasyonu ve çok taraflı diplomatik girişimlerle ilgilenen kurumları hedef aldığını belirtiyor. Arctic Wolf bu saldırıların Çin’in Avrupa’daki diplomatik bağları, savunma politikaları ve ittifak yapılarına dair stratejik bilgi toplama faaliyetleriyle örtüştüğünü ifade etti.
Saldırı kampanyasının devam ettiği ve Microsoft’un Defender sistemi ile Smart App Control özelliğinin bu tehdide karşı algılama katmanı sağladığı raporlandı. Ancak güvenlik araştırmacıları açığın henüz Microsoft tarafından resmi olarak yamalanmadığını ve kullanıcıların bilinmeyen bağlantılara tıklamama konusunda ekstra dikkatli olmaları gerektiğini vurguladı.
