Redazione RHC : 4 noviembre 2025 15:27
El grupo de hackers vinculado a China, UNC6384 ( también conocido como Mustang Panda ), está llevando a cabo una campaña de ciberespionaje a gran escala dirigida a agencias diplomáticas y gubernamentales europeas.
Según Arctic Wolf y StrikeReady , los hackers están explotando una vulnerabilidad de Windows sin parchear relacionada con los accesos directos LNK. Los ataques se registraron en Hungría, Bélgica, Italia, los Países Bajos y Serbia entre septiembre y octubre de 2025.
Según los investigadores, los ataques comienzan con correos electrónicos de phishing dirigidos que contienen URL a archivos LNK maliciosos. Los asuntos de estos correos electrónicos suelen hacer referencia a talleres de adquisiciones de defensa de la OTAN, reuniones de la Comisión Europea sobre facilitación fronteriza y otros eventos diplomáticos multilaterales.
Los archivos maliciosos aprovechan la vulnerabilidad CVE-2025-9491 (puntuación CVSS 7.0) en la gestión de accesos directos de Windows. Esta vulnerabilidad permite ocultar argumentos maliciosos de la línea de comandos dentro de los archivos .LNK mediante el uso de espacios en blanco en la estructura COMMAND_LINE_ARGUMENTS. Esto permite la ejecución de código arbitrario en dispositivos vulnerables sin el conocimiento del usuario.
Cuando una víctima abre dicho archivo, se ejecuta un comando de PowerShell que descifra y extrae el contenido del archivo TAR , mostrando simultáneamente un PDF descifrado al usuario. El archivo contiene una utilidad legítima de Canon Printer Assistant, una DLL maliciosa llamada CanonStager y una carga útil de malware PlugX cifrada (cnmplog.dat), distribuida mediante la instalación de DLL de forma lateral.
PlugX ( también conocido como Destroy RAT, Kaba, Korplug, SOGU y TIGERPLUG ) es un troyano de acceso remoto que otorga a los atacantes control total sobre un sistema infectado. Este malware puede ejecutar comandos, interceptar pulsaciones de teclado, cargar y descargar archivos, persistir en el sistema modificando el registro de Windows y realizar un reconocimiento exhaustivo.
La arquitectura modular de PlugX permite a sus operadores ampliar la funcionalidad del troyano mediante complementos diseñados para tareas específicas. El malware también utiliza técnicas anti-análisis y anti-depuración para dificultar el análisis y permanecer indetectado.
Según los investigadores de Arctic Wolf, se ha documentado una evolución en las herramientas de los atacantes: el tamaño de los artefactos de CanonStager se ha reducido de 700 KB a 4 KB , lo que indica un desarrollo activo y una minimización de su huella digital. Además, a principios de septiembre, el grupo comenzó a utilizar archivos de aplicación HTML (HTA) para cargar código JavaScript que recupera datos del subdominio cloudfront[.]net.
Cabe destacar que la vulnerabilidad CVE-2025-9491 existe al menos desde 2017 y ha sido explotada activamente por numerosos grupos de hackers. La explotación de este fallo se reportó públicamente por primera vez en marzo de 2025. En ese momento, los analistas de Trend Micro descubrieron que la vulnerabilidad estaba siendo ampliamente explotada por once grupos de hackers que se hacían pasar por gubernamentales y otros ciberdelincuentes, entre ellos Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel y Konni.
Sin embargo, a pesar de la explotación generalizada, los desarrolladores de Microsoft aún no han publicado un parche para la vulnerabilidad CVE-2025-9491. En marzo, representantes de la compañía declararon que «considerarían abordar el problema», pero enfatizaron que la vulnerabilidad no requería atención inmediata. Microsoft también destacó que Defender cuenta con herramientas de detección para bloquear dicha actividad y que el Control Inteligente de Aplicaciones proporciona protección adicional.
Como aún no existe un parche oficial, Arctic Wolf recomienda limitar o bloquear el uso de archivos LNK en Windows , bloquear las conexiones a la infraestructura de control de hackers descubierta por los investigadores y reforzar la vigilancia de la actividad sospechosa en la red.
RedazioneReuters informó que Trump declaró a la prensa durante una entrevista pregrabada para el programa «60 Minutes» de CBS y a bordo del Air Force One durante el vuelo de regreso: «No vamos a permitir ...
Un informe de FortiGuard correspondiente al primer semestre de 2025 muestra que los atacantes motivados por intereses económicos están evitando cada vez más las vulnerabilidades y el malware sofist...
La primera computadora cuántica atómica de China ha alcanzado un importante hito comercial al registrar sus primeras ventas a clientes nacionales e internacionales, según medios estatales. El Hubei...
El director ejecutivo de NVIDIA, Jen-Hsun Huang, supervisa directamente a 36 empleados en siete áreas clave: estrategia, hardware, software, inteligencia artificial, relaciones públicas, redes y asi...
OpenAI ha presentado Aardvark, un asistente autónomo basado en el modelo GPT-5 , diseñado para encontrar y corregir automáticamente vulnerabilidades en el código de software. Esta herramienta de I...
