- Mustang Panda, kimlik avı ve kötü amaçlı .LNK dosyaları aracılığıyla Avrupalı diplomatları hedeflemek için CVE-2025-9491’i kullandı
- İstismar edilen Windows Shell Link kusuru, kalıcı erişim ve veri sızıntısı için PlugX RAT’ı dağıtıyor
- Yüzlerce örnek, sıfır gün olayını en az 2017’den bu yana uzun süredir devam eden Çin casusluk kampanyalarına bağlıyor
Güvenlik araştırmacıları, Çin devleti destekli tehdit aktörlerinin Windows’un sıfır gün güvenlik açığını kullanarak Avrupa kıtasındaki diplomatları hedef aldığı konusunda uyarıyor.
Güvenlik araştırmacıları Arctic Wolf Labs geçtiğimiz günlerde Mustang Panda (UNC6384) olarak bilinen bir ulus devlet aktörünün Macaristan, Belçika, Sırbistan, İtalya ve Hollanda’daki diplomatlara hedef odaklı kimlik avı e-postaları gönderdiğini gözlemlediklerini söyledi.
İlginç bir şekilde, kurbanlar arasında Çin ile güçlü bağları olan ve pek çok açıdan Çin’in müttefiki ve ortağı olarak kabul edilen iki ülke olan Macaristan ve Sırbistan da var – her ne kadar Ağustos 2025’te Çin’in bir başka büyük müttefik hakkında casusluk yaptığı ortaya çıkmış olsa da – Rusya.
.LNK dosyalarının kötüye kullanılması
Araştırmacılar, kimlik avı e-postalarının NATO savunma satın alma çalıştayları, Avrupa Komisyonu’nun sınır kolaylaştırma toplantıları ve diğer benzer diplomatik olaylarla ilgili olduğunu açıkladı.
Bunlar, CVE-2025-9491’in kötüye kullanılması yoluyla PlugX adı verilen bir Uzaktan Erişim Truva Atı’nı (RAT) dağıtmak üzere oluşturulmuş kötü amaçlı bir .LNK dosyası taşıyordu. Bu RAT, operatörlerine tehlikeye atılmış sisteme kalıcı erişim sağlamanın yanı sıra iletişimi gizlice dinleme, dosyaları sızdırma ve daha fazlasını yapma olanağı sağlar.
Hata, Windows’un kısayol dosyalarını işleme biçiminden kaynaklanıyor ve Shell Link mekanizmasında kullanıcı arayüzünün yanlış beyan edilmesi sorunu olarak tanımlanıyor. Kullanıcı kısayolu çalıştırdığında veya kısayolu önizlediğinde farklı, kötü amaçlı bir komutun çalıştırılması için hazırlanmış bir .LNK dosyasının gerçek komut satırını gizlemesine olanak tanır.
Yararlanma kullanıcı etkileşimi gerektirdiğinden, hataya 7,8/10 (yüksek) gibi nispeten düşük bir ciddiyet puanı verildi. Yine de araştırmacılar yüzlerce (hatta muhtemelen binlerce) .LNK örneği buldular ve bu durum kusuru uzun süredir devam eden casusluk kampanyalarına bağladı; bazı örnekler 2017’ye kadar uzanıyordu.
Araştırmacılar, “Arctic Wolf Labs, bu kampanyanın Çin’e bağlı bir siber casusluk tehdit aktörü olan UNC6384’e atfedilebileceğini yüksek bir güvenle değerlendiriyor” dedi.
“Bu atıf, aşağıdakiler de dahil olmak üzere birbiriyle örtüşen birden fazla kanıta dayanmaktadır: kötü amaçlı yazılım araçlar, taktik prosedürler, hedefleme uyumu ve altyapı, daha önce belgelenen UNC6384 operasyonlarıyla örtüşüyor.”
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.