Windowsゼロデイ脆弱性が欧州外交官を標的に
中国関連のハッキンググループが、欧州の外交官を標的とした攻撃でWindowsのゼロデイ脆弱性を悪用していることが明らかになりました。ハンガリー、ベルギー、その他の欧州諸国の外交官が狙われています。
Arctic Wolf Labsによると、この攻撃はスピアフィッシングメールから始まります。これらのメールは、NATO防衛調達ワークショップや欧州委員会国境円滑化会議など、外交イベントを装った悪意のあるLNKファイルを配信します。
攻撃の詳細と悪用される脆弱性
これらの悪意のあるファイルは、深刻度の高いWindows LNK脆弱性(CVE-2025-9491)を悪用するように設計されています。これにより、PlugXリモートアクセス型トロイの木馬(RAT)マルウェアが展開され、侵害されたシステムに永続的なアクセスを確立します。
攻撃者は、外交通信の監視や機密データの窃取を目的としたサイバースパイ活動を行っています。
CVE-2025-9491は、.LNKファイルの処理方法に存在する脆弱性です。攻撃者は、パディングされた空白を使用して、悪意のあるコマンドライン引数を.LNKショートカットファイルのCOMMAND_LINE_ARGUMENTS構造内に隠すことで、検出を回避し、ユーザーの知らないうちに脆弱なデバイス上でコードを実行できます。ただし、成功にはユーザーが不正なファイルを開くなどの操作が必要となります。
中国系ハッキンググループ「UNC6384」の関与
このサイバースパイ活動は、中国政府の支援を受ける脅威グループUNC6384(Mustang Panda)に起因するとされています。このグループは、中国の戦略的利益に沿ったスパイ活動で知られ、東南アジアの外交機関を標的としてきました。
Arctic Wolf LabsとStrikeReadyの研究者によるマルウェアとインフラの分析により、この攻撃の範囲が最近拡大していることが明らかになりました。当初はハンガリーとベルギーの外交機関に焦点を当てていましたが、現在はセルビア政府機関やイタリア、オランダの外交機関も標的となっています。
Arctic Wolf Labsは、「このキャンペーンがUNC6384に起因すると高い確信を持って評価している」と述べています。
広範な悪用とMicrosoftの対応
2025年3月には、Trend Microの脅威アナリストが、CVE-2025-9491がすでに11の国家支援グループやサイバー犯罪集団によって広く悪用されていることを発見していました。
これらのグループには、Evil Corp、APT43(Kimsukyとしても知られる)、Bitter、APT37、Mustang Panda、SideWinder、RedHotel、Konniなどが含まれ、Ursnif、Gh0st RAT、Trickbotなど多様なマルウェアペイロードが使用されています。
Microsoftは3月の時点でBleepingComputerに対し、このゼロデイ脆弱性について「対処を検討する」と述べていましたが、現時点ではパッチはリリースされていません。
推奨される対策
CVE-2025-9491に対する公式パッチがないため、ネットワーク防御者は、Windowsの.LNKファイルの使用を制限またはブロックし、Arctic Wolf Labsによって特定されたC2インフラからの接続をブロックすることが推奨されます。