Хакеры из Китая начали новую шпионскую кампанию в Европе. Они используют уязвимость Windows, с помощью которой также могут атаковать ваш компьютер | #

Эксперты по безопасности Arctic Wolf Labs предупреждают о новой операции кибершпионажа которая контролируется китайской группой UNC6384также известен своими связями с печально известной группой Mustang Panda. Их новая кампания проходила в сентябре и октябре 2025 года и была сосредоточена, например, на дипломатических миссиях в Венгрии, Бельгии и других европейских странах. Однако обычные пользователи или представители и сотрудники ключевой инфраструктуры также подвергаются риску..

чинский пират (2) — Источник: Vosveteit.sk, аИ

Выглядит как обычный документ. И это трюк

Хотя целью атаки стали дипломаты, способ проведения атаки может также подвергнуть риску обычных пользователей. Хакеры используют ошибку в системе Windows, которую Microsoft еще не исправилаи распространять вредоносный код через файлы простых значков ссылок (.LNK). Подобные ярлыки известны практически каждому, обычно они находятся на рабочем столе и в папках, но на этот раз они служат ловушкой.

Подпишитесь на Vosveteit.sk через Telegram и подпишитесь на получение новостей

Атака начинается с поддельного электронного письма, которое выглядит вполне правдоподобно. Хакеры гарантируют, что сообщение будет выглядеть как официальное приглашение или документ, например «Повестка дня встречи в Брюсселе» или «Письмо-приглашение EPC». Если пользователь нажмет на прикрепленный файл, на экране появится законный PDF-файл., но сценарий PowerShell будет работать в фоновом режимекоторый загружает и запускает другие вредоносные файлы.

Ключевой момент наступает, когда законная программа Canon, которая обычно используется для управления принтерами, используется не по назначению.. Эта программа при запуске пытаюсь загрузить библиотеку cnmpaui.dll и сначала ищет его в своем собственном каталоге. И сюда хакеры вставляют свою фейковую одноименную библиотеку. Затем программа запускает его как часть себя, незаметно внедряя в систему вредоносный код.

Плюмбонна Пламбанг Слива Флори Вольф — Источник: arcticwolf.com

Вирус, который скрывается даже от антивируса

Вот как устанавливается знакомый шпионский инструмент plugXкоторый может предоставить злоумышленникам доступ к атакованному компьютеру. Это позволяет им просматривать файлы, загружать данные, контролировать клавиатуру или получать пароли доступа. Все происходит бесшумно, поскольку вирус работает в памяти как часть легитимного процесса, а потому зачастую вообще не ловится штатными антивирусами.

Не упускайте из виду

Как добавить виджет с последними новостями с сайтов на главный экран телефона?

Особенно важно, чтобы группа UNC6384 смог использовать эту ошибку в течение 6 месяцев с момента ее выпуска в марте 2025 года.. Это значит, что время их реакции крайне короткое, раскрытия уязвимости хакерам хватило, чтобы тут же превратить ее в настоящее оружие.

Arctic Wolf предупреждает, что Microsoft еще не выпустила исправление этой ошибкипоэтому рекомендуется заблокировать автоматическое распознавание файлов .LNK в Проводнике. Это мера предосторожности, предотвращающая их запуск без согласия пользователя. Эксперты также напоминают простое, но важное правило: не открывайте файлы .LNK, которые приходят к вам по электронной почте или загружаются из Интернета, независимо от того, насколько заслуживающими доверия они выглядят.

По данным Arctic Wolf Labs, это типичная шпионская операция. цель не деньги, а информация. И именно поэтому это может быть опасно даже для обычных людей. Злоумышленникам не обязательно нужны ваши сбережения — им достаточно получить дополнительный доступ через ваш зараженный компьютер, например, к сети компании или к контактам по электронной почте.