Un gruppo di hacker collegato alla Cina, identificato come UNC6384, è stato recentemente associato a una nuova ondata di attacchi informatici contro enti diplomatici e governativi europei. Questi attacchi, avvenuti tra settembre e ottobre 2025, sfruttano una vulnerabilità non corretta nei collegamenti di Windows (Windows Shortcut), nota come ZDI-CAN-25373 e tracciata ufficialmente come CVE-2025-9491. La minaccia si è concentrata su organizzazioni diplomatiche in paesi come Ungheria, Belgio, Italia, Paesi Bassi e su agenzie governative in Serbia.

Metodologia degli attacchi

La metodologia degli attacchi si basa su email di spear-phishing contenenti link malevoli. Questi link indirizzano la vittima verso una serie di fasi che portano infine all’installazione di file LNK dannosi, spesso camuffati come documenti relativi a incontri della Commissione Europea, workshop NATO ed eventi di coordinamento diplomatico multilaterale.

Una volta aperto il file LNK, la vulnerabilità viene sfruttata per avviare una catena di attacco composta da più fasi. Il risultato finale è il caricamento di PlugX, un potente trojan di accesso remoto (RAT) noto anche come Destroy RAT, Kaba, Korplug, SOGU e TIGERPLUG. PlugX viene installato tramite la tecnica del DLL side-loading, sfruttando una utility legittima di stampante Canon per caricare un file DLL malevolo chiamato CanonStager, che a sua volta esegue il payload di PlugX.

Caratteristiche del malware PlugX

PlugX offre agli attaccanti ampi poteri di controllo remoto, tra cui esecuzione di comandi, keylogging, trasferimento file e raccolta di informazioni sul sistema. Il malware si distingue inoltre per la sua architettura modulare e per le tecniche anti-analisi e anti-debugging, oltre a implementare persistenza attraverso modifiche al registro di sistema di Windows.

Evoluzione e varianti della campagna

Secondo i ricercatori, la dimensione dei file CanonStager utilizzati negli attacchi è diminuita drasticamente da 700 KB a soli 4 KB nel giro di poche settimane, segno di un’evoluzione e ottimizzazione costante del toolkit per ridurre la visibilità forense. Inoltre, una variante della campagna ha visto l’uso di file HTA per caricare JavaScript esterni, che poi scaricano i payload malevoli da domini cloud.

Obiettivi strategici

Gli obiettivi di questa campagna sono chiaramente legati agli interessi strategici della Repubblica Popolare Cinese, con particolare attenzione alla coesione delle alleanze europee, alle iniziative di difesa e ai meccanismi di coordinamento delle politiche transfrontaliere.