Un actor de amenazas afiliado a China conocido como UNC6384 se ha relacionado con un nuevo conjunto de ataques que explotan una vulnerabilidad de acceso directo de Windows sin parchear para atacar entidades diplomáticas y gubernamentales europeas entre septiembre y octubre de 2025.
La actividad tuvo como objetivo organizaciones diplomáticas en Hungría, Bélgica, Italia y Países Bajos, así como agencias gubernamentales en Serbia, dijo Arctic Wolf en un informe técnico publicado el jueves.
«La cadena de ataque comienza con correos electrónicos de phishing que contienen una URL incrustada que es la primera de varias etapas que conducen a la entrega de archivos LNK maliciosos relacionados con reuniones de la Comisión Europea, talleres relacionados con la OTAN y eventos de coordinación diplomática multilateral», dijo la compañía de ciberseguridad.
Los archivos están diseñados para explotar ZDI-CAN-25373 y desencadenar una cadena de ataque de varias etapas que culmina con la implementación del malware PlugX mediante la carga lateral de DLL. PlugX es un troyano de acceso remoto también conocido como Destroy RAT, Kaba, Korplug, SOGU y TIGERPLUG.
UNC6384 fue objeto de un análisis reciente realizado por Google Threat Intelligence Group (GTIG), que lo describió como un grupo con superposiciones tácticas y de herramientas con un grupo de hackers conocido como Mustang Panda. Se ha observado que el actor de amenazas entrega una variante de PlugX residente en memoria llamada SOGU.SEC.
La última ola de ataques utiliza correos electrónicos de phishing con señuelos diplomáticos para atraer a los destinatarios a abrir un archivo adjunto falso diseñado para explotar ZDI-CAN-25373, una vulnerabilidad que ha sido utilizada por múltiples actores de amenazas desde 2017 para ejecutar comandos maliciosos ocultos en la máquina de una víctima. Tiene un seguimiento oficial como CVE-2025-9491 (puntuación CVSS: 7,0)
La existencia del error fue informada por primera vez por los investigadores de seguridad Peter Girnus y Aliakbar Zahravi en marzo de 2025. Un informe posterior de HarfangLab encontró que un grupo de ciberespionaje conocido como XDSpy también había abusado de la deficiencia para distribuir un malware basado en Go llamado XDigo en ataques dirigidos a entidades gubernamentales de Europa del Este en marzo de 2025.
En ese momento, Microsoft le dijo a The Hacker News que Microsoft Defender cuenta con detecciones para detectar y bloquear esta actividad de amenaza, y que Smart App Control proporciona una capa adicional de protección al bloquear archivos maliciosos de Internet.
Específicamente, el archivo LNK está diseñado para ejecutar un comando de PowerShell para decodificar y extraer el contenido de un archivo TAR y, simultáneamente, mostrar un documento PDF señuelo al usuario. El archivo contiene tres archivos: una utilidad legítima de asistente de impresora Canon, una DLL maliciosa denominada CanonStager que se descarga utilizando el binario y una carga útil cifrada de PlugX («cnmplog.dat») que inicia la DLL.
«El malware proporciona capacidades integrales de acceso remoto que incluyen ejecución de comandos, registro de teclas, operaciones de carga y descarga de archivos, establecimiento de persistencia y amplias funciones de reconocimiento del sistema», dijo Arctic Wolf. «Su arquitectura modular permite a los operadores ampliar la funcionalidad a través de módulos complementarios adaptados a requisitos operativos específicos».
PlugX también implementa varias técnicas anti-análisis y controles anti-depuración para resistir los esfuerzos por descomprimir sus componentes internos y pasar desapercibidos. Logra la persistencia mediante una modificación del Registro de Windows.
Arctic Wolf dijo que los artefactos de CanonStager encontrados a principios de septiembre y octubre de 2025 han sido testigos de una disminución constante en su tamaño de aproximadamente 700 KB a 4 KB, lo que indica un desarrollo activo y su evolución hacia una herramienta mínima capaz de lograr sus objetivos sin dejar mucha huella forense.
Además, en lo que se percibe como un refinamiento del mecanismo de entrega de malware, se descubrió que UNC6384 aprovecha un archivo de aplicación HTML (HTA) a principios de septiembre para cargar un JavaScript externo que, a su vez, recupera las cargas maliciosas de un subdominio de red frente a la nube(.).
«El enfoque de la campaña en las entidades diplomáticas europeas involucradas en la cooperación de defensa, la coordinación de políticas transfronterizas y los marcos diplomáticos multilaterales se alinea con los requisitos de inteligencia estratégica de la República Popular China relacionados con la cohesión de la alianza europea, las iniciativas de defensa y los mecanismos de coordinación de políticas», concluyó Arctic Wolf.
