详细内容或原文请订阅后点击阅览
与中国相关的 UNC6384 利用 Windows 零日漏洞监视欧洲外交官
与中国相关的 APT 组织 UNC6384 利用 Windows 零日漏洞针对欧洲外交官开展活跃的网络间谍活动。北极狼实验室的研究人员发现,与中国有关的 APT UNC6384 针对匈牙利、比利时和其他欧盟国家的外交实体开展了网络间谍活动。 UNC6384 是 Google TAG 最近详细介绍的一个与中国有联系的攻击者,其目标已从瞄准东南部扩展 [...]
来源:Security Affairs _恶意软件与中国相关的 UNC6384 利用 Windows 零日漏洞监视欧洲外交官
皮耶路易吉·帕格尼尼 2025 年 11 月 1 日与中国相关的 APT 组织 UNC6384 利用 Windows 零日漏洞针对欧洲外交官开展活跃的网络间谍活动。
北极狼实验室的研究人员发现,与中国有关的 APT UNC6384 针对匈牙利、比利时和其他欧盟国家的外交实体开展了网络间谍活动。
UNC6384UNC6384 是 Google TAG 最近详细介绍的一个与中国关系密切的攻击者,其目标已从针对东南亚外交官扩展到欧洲实体。该攻击者使用复杂的链,结合了社会工程、签名加载程序和内存驻留恶意软件。它主要部署 PlugX (SOGU.SEC),与 Mustang Panda 相连,共享策略、基础设施和与 PRC 一致的目标模式。
详细 野马熊猫该活动于 9 月份开始,目前仍然活跃,威胁行为者通过包含以欧盟和北约事件为主题的恶意 LNK 的网络钓鱼电子邮件,利用 Windows 快捷方式缺陷 (ZDI-CAN-25373),通过合法 Canon 实用程序的 DLL 侧面加载来部署 PlugX RAT。
ZDI-CAN-25373 PlugX RATZDI-CAN-25373(又名 ZDI-25-148)漏洞允许攻击者利用精心设计的快捷方式文件在受害者的计算机上执行隐藏的恶意命令。
2025 年 3 月,趋势科技研究人员报告称,该漏洞已被来自朝鲜、伊朗、俄罗斯和中国的国家资助的 APT 组织利用。北美、欧洲、亚洲、南美和澳大利亚的政府、金融、电信、军事和能源部门的组织都受到了影响。
报告Arctic Wolf Labs 现在报告称,UNC6384 迅速将 ZDI-CAN-25373 Windows 漏洞武器化,并在 2025 年 3 月披露后的六个月内将其整合到运营中。
研究人员报告称,CanonStager 加载器从复杂的基于 TLS/TLS 的设计演变为紧凑的 4KB 变体,减少了取证足迹。
报告 罢工就绪 @securityaffairs 脸书 乳齿象皮尔路易吉·帕格尼尼