Redazione RHC : 4 noviembre 2025 15:27
El grupo de hackers vinculado a China, UNC6384 ( también conocido como Mustang Panda ), está llevando a cabo una campaña de ciberespionaje a gran escala dirigida a agencias diplomáticas y gubernamentales europeas.
Según Arctic Wolf y StrikeReady , los hackers están explotando una vulnerabilidad de Windows sin parchear relacionada con los accesos directos LNK. Los ataques se registraron en Hungría, Bélgica, Italia, los Países Bajos y Serbia entre septiembre y octubre de 2025.
Según los investigadores, los ataques comienzan con correos electrónicos de phishing dirigidos que contienen URL a archivos LNK maliciosos. Los asuntos de estos correos electrónicos suelen hacer referencia a talleres de adquisiciones de defensa de la OTAN, reuniones de la Comisión Europea sobre facilitación fronteriza y otros eventos diplomáticos multilaterales.
Los archivos maliciosos aprovechan la vulnerabilidad CVE-2025-9491 (puntuación CVSS 7.0) en la gestión de accesos directos de Windows. Esta vulnerabilidad permite ocultar argumentos maliciosos de la línea de comandos dentro de los archivos .LNK mediante el uso de espacios en blanco en la estructura COMMAND_LINE_ARGUMENTS. Esto permite la ejecución de código arbitrario en dispositivos vulnerables sin el conocimiento del usuario.
Cuando una víctima abre dicho archivo, se ejecuta un comando de PowerShell que descifra y extrae el contenido del archivo TAR , mostrando simultáneamente un PDF descifrado al usuario. El archivo contiene una utilidad legítima de Canon Printer Assistant, una DLL maliciosa llamada CanonStager y una carga útil de malware PlugX cifrada (cnmplog.dat), distribuida mediante la instalación de DLL de forma lateral.
PlugX ( también conocido como Destroy RAT, Kaba, Korplug, SOGU y TIGERPLUG ) es un troyano de acceso remoto que otorga a los atacantes control total sobre un sistema infectado. Este malware puede ejecutar comandos, interceptar pulsaciones de teclado, cargar y descargar archivos, persistir en el sistema modificando el registro de Windows y realizar un reconocimiento exhaustivo.
La arquitectura modular de PlugX permite a sus operadores ampliar la funcionalidad del troyano mediante complementos diseñados para tareas específicas. El malware también utiliza técnicas anti-análisis y anti-depuración para dificultar el análisis y permanecer indetectado.
Según los investigadores de Arctic Wolf, se ha documentado una evolución en las herramientas de los atacantes: el tamaño de los artefactos de CanonStager se ha reducido de 700 KB a 4 KB , lo que indica un desarrollo activo y una minimización de su huella digital. Además, a principios de septiembre, el grupo comenzó a utilizar archivos de aplicación HTML (HTA) para cargar código JavaScript que recupera datos del subdominio cloudfront[.]net.
Cabe destacar que la vulnerabilidad CVE-2025-9491 existe al menos desde 2017 y ha sido explotada activamente por numerosos grupos de hackers. La explotación de este fallo se reportó públicamente por primera vez en marzo de 2025. En ese momento, los analistas de Trend Micro descubrieron que la vulnerabilidad estaba siendo ampliamente explotada por once grupos de hackers que se hacían pasar por gubernamentales y otros ciberdelincuentes, entre ellos Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel y Konni.
Sin embargo, a pesar de la explotación generalizada, los desarrolladores de Microsoft aún no han publicado un parche para la vulnerabilidad CVE-2025-9491. En marzo, representantes de la compañía declararon que «considerarían abordar el problema», pero enfatizaron que la vulnerabilidad no requería atención inmediata. Microsoft también destacó que Defender cuenta con herramientas de detección para bloquear dicha actividad y que el Control Inteligente de Aplicaciones proporciona protección adicional.
Como aún no existe un parche oficial, Arctic Wolf recomienda limitar o bloquear el uso de archivos LNK en Windows , bloquear las conexiones a la infraestructura de control de hackers descubierta por los investigadores y reforzar la vigilancia de la actividad sospechosa en la red.
RedazioneEn 2025, los usuarios siguen dependiendo en gran medida de contraseñas básicas para proteger sus cuentas. Un estudio de Comparitech, basado en un análisis de más de 2 mil millones de contraseñas ...
En unos años, Irlanda y Estados Unidos estarán conectados por un cable de comunicaciones submarino diseñado para ayudar a Amazon a mejorar sus servicios AWS . Los cables submarinos son una parte fu...
No se trata “ solo de mayor velocidad ”: ¡el 6G cambia la naturaleza misma de la red! Cuando hablamos de 6G, corremos el riesgo de reducirlo todo a una simple mejora de velocidad, como si la red ...
En septiembre se publicó una nueva vulnerabilidad que afecta a Notepad++. Esta vulnerabilidad, identificada como CVE-2025-56383, puede consultarse en el sitio web del NIST para obtener más informaci...
Google ha emitido un aviso urgente sobre una vulnerabilidad crítica en Android que permite a los atacantes ejecutar código arbitrario en el dispositivo sin interacción del usuario. La vulnerabilida...
