Windowsゼロデイ脆弱性が欧州外交官を標的に
中国関連のハッキンググループが、欧州の外交官を標的とした攻撃でWindowsのゼロデイ脆弱性を悪用していることが明らかになりました。この攻撃は、ハンガリー、ベルギー、その他の欧州諸国の外交官に対して行われています。
攻撃の手口と悪用される脆弱性
Arctic Wolf Labsによると、攻撃はスピアフィッシングメールから始まります。これらのメールは、NATOの防衛調達ワークショップや欧州委員会の国境円滑化会議など、外交イベントを装った悪意のあるLNKファイルを配信します。このLNKファイルは、高深刻度のWindows LNK脆弱性(CVE-2025-9491)を悪用し、PlugXリモートアクセス型トロイの木馬(RAT)をシステムに展開します。これにより、攻撃者は侵害されたシステムに永続的なアクセスを確立し、外交通信の監視や機密データの窃取を可能にします。
攻撃者の特定と標的の拡大
このサイバー諜報キャンペーンは、中国政府の支援を受ける脅威グループUNC6384(Mustang Panda)によるものとされています。UNC6384は、中国の戦略的利益に沿った諜報活動で知られ、東南アジアの外交機関を標的としてきました。最近の分析では、攻撃の範囲が拡大しており、当初はハンガリーとベルギーの外交機関に焦点を当てていましたが、現在はセルビア政府機関やイタリア、オランダの外交機関も標的となっています。
CVE-2025-9491の詳細と広範な悪用
このゼロデイ脆弱性は、標的のWindowsシステム上で任意のコードをリモートで実行することを可能にします。ただし、悪用にはユーザーの操作が必要であり、悪意のあるページへのアクセスや悪意のあるファイルの開封をユーザーに促す手口が用いられます。CVE-2025-9491は、.LNKファイルの処理方法に存在し、攻撃者はショートカットファイルの表示方法を悪用して検出を回避し、ユーザーの知らないうちにコードを実行します。2025年3月には、Trend Microの脅威アナリストが、この脆弱性がすでに11の国家支援グループやサイバー犯罪集団によって広く悪用されていることを発見していました。これらのグループには、Evil Corp、APT43(Kimsuky)、Bitter、APT37、Mustang Panda、SideWinder、RedHotel、Konniなどが含まれます。
Microsoftの対応と推奨される対策
Microsoftは2025年3月にこのゼロデイ脆弱性への対応を「検討する」と述べていましたが、現時点では公式のセキュリティアップデートはリリースされていません。このため、ネットワーク防御者は、Windows .LNKファイルの使用を制限またはブロックし、Arctic Wolf Labsによって特定されたC2インフラからの接続をブロックすることが推奨されます。