Un actor de amenazas afiliado a China conocido como UNC6384 se ha relacionado con una nueva serie de ataques que aprovecharon una vulnerabilidad de acceso directo de Windows sin parches para atacar a entidades diplomáticas y gubernamentales europeas entre septiembre y octubre de 2025.
La actividad se dirigió a organizaciones diplomáticas en Hungría, Bélgica, Italia y los Países Bajos, así como a agencias gubernamentales en Serbia, Arctic Wolf dijo en un informe técnico publicado el jueves.
«La cadena de ataque comienza con correos electrónicos de suplantación de identidad que contienen una URL incrustada, que es la primera de varias etapas que conducen a la entrega de archivos LNK maliciosos relacionados con las reuniones de la Comisión Europea, los talleres relacionados con la OTAN y los eventos de coordinación diplomática multilateral», dijo la empresa de ciberseguridad.
Los archivos están diseñados para aprovechar el ZDI-CAN-25373 y desencadenar una cadena de ataques de varias etapas que culmine con el despliegue del Enchufe X malware que utiliza la carga lateral de DLL. PlugX es un troyano de acceso remoto también se conoce como Destroy RAT, Kaba, Korplug, SOGU y TIGERPLUG.
La UNC6384 fue la sujeto de un análisis reciente realizado por Google Threat Intelligence Group (GTIG), que lo describió como un grupo con superposiciones tácticas y de herramientas con un grupo de hackers conocido como Mustang Panda. Se ha observado que el actor de la amenaza generaba una variante de PlugX que reside en la memoria denominada SOGU.SEC.
La última ola de ataques utiliza correos electrónicos de suplantación de identidad con señuelos diplomáticos para incitar a los destinatarios a abrir un archivo adjunto falso diseñado para aprovecharse ZDI-CAN-25373 , una vulnerabilidad que ya en 2017 utilizaban varios actores de amenazas para ejecutar comandos maliciosos ocultos en la máquina de la víctima. Se rastrea oficialmente como CVE-2025-9491 (Puntuación CVSS: 7.0)
La existencia del error fue reportada por primera vez por los investigadores de seguridad Peter Girnus y Aliakbar Zahravi en marzo de 2025. Un informe posterior de HarfangLab encontrado que un grupo de ciberespionaje conocido como XDSpy también abusó de esta deficiencia para distribuir un malware basado en Go llamado xDigo en ataques contra entidades gubernamentales de Europa del Este en marzo de 2025.
En ese momento, Microsoft dijo a The Hacker News que Microsoft Defender cuenta con sistemas de detección para detectar y bloquear esta actividad de amenazas, y que Smart App Control proporciona una capa adicional de protección al bloquear los archivos maliciosos de Internet.
Específicamente, el archivo LNK está diseñado para lanzar un comando de PowerShell para decodificar y extraer el contenido de un archivo TAR y mostrar simultáneamente un documento PDF señuelo al usuario. El archivo contiene tres archivos: un asistente de impresión legítimo de Canon, un archivo DLL malintencionado denominado CanonStager que se descarga de forma lateral mediante el sistema binario y una carga PlugX cifrada (» cnmplog.dat «) que ejecuta la DLL.
«El malware proporciona capacidades integrales de acceso remoto que incluyen la ejecución de comandos, el registro de teclas, las operaciones de carga y descarga de archivos, el establecimiento de la persistencia y amplias funciones de reconocimiento del sistema», afirma Arctic Wolf. «Su arquitectura modular permite a los operadores ampliar la funcionalidad mediante módulos de complementos adaptados a los requisitos operativos específicos».
PlugX también implementa varias técnicas antianálisis y comprobaciones antidepuración para resistirse a los esfuerzos por desempacar sus componentes internos y pasar desapercibidos. Logra la persistencia mediante una modificación del registro de Windows.
Arctic Wolf dijo que los artefactos CanonStager encontrados a principios de septiembre y octubre de 2025 han experimentado una disminución constante de tamaño, pasando de aproximadamente 700 KB a 4 KB, lo que indica un desarrollo activo y su evolución hasta convertirse en una herramienta mínima capaz de alcanzar sus objetivos sin dejar una gran huella forense.
Además, en lo que se percibe como un refinamiento del mecanismo de entrega de malware, se ha descubierto que el UNC6384 aprovecha un archivo de aplicación HTML (HTA) a principios de septiembre para cargar un JavaScript externo que, a su vez, recupera las cargas maliciosas de un subdominio [.] net en la nube.
«El enfoque de la campaña en las entidades diplomáticas europeas que participan en la cooperación en materia de defensa, la coordinación de políticas transfronterizas y los marcos diplomáticos multilaterales se alinea con los requisitos de inteligencia estratégica de la República Popular China en relación con la cohesión de las alianzas europeas, las iniciativas de defensa y los mecanismos de coordinación de políticas», concluyó Arctic Wolf.