حمله هکری چین به دیپلمات‌های اروپا با سوءاستفاده از باگ ویندوز

توسط /

محققان امنیتی هشدار می‌دهند گروه‌های مرتبط با دولت چین از یک آسیب‌پذیری روز‑صفر ویندوز برای هدف گرفتن دیپلمات‌ها در چند کشور اروپایی سوءاستفاده کرده‌اند. حمله با ایمیل‌های هدفمند و فایل‌های میان‌بر مخرب انجام شده و دسترسی پایداری به دستگاه قربانی می‌دهد.

تیم پژوهشی Arctic Wolf Labs گزارش داده است که یک بازیگر تهدید وابسته به دولت، با نام مستعار Mustang Panda یا UNC6384، از طریق ایمیل‌های فیشینگ سفارشی به دیپلمات‌ها در مجارستان، بلژیک، صربستان، ایتالیا و هلند حمله کرده است. موضوع ایمیل‌ها اغلب مربوط به کارگاه‌های تدارکات دفاعی ناتو، نشست‌های تسهیل مرزی کمیسیون اروپا و رویدادهای دیپلماتیک بوده تا احتمال باز شدن پیوست‌ها افزایش یابد.

روش حمله: سوءاستفاده از فایل‌های .LNK و CVE-2025-9491

ایمیل‌ها حاوی یک فایل میان‌بر (.LNK) مخرب بودند که با سوءاستفاده از آسیب‌پذیری شناخته‌شده CVE-2025-9491 ساخته شده است. این ضعف مربوط به نحوه نمایش رابط کاربری در مکانیزم Shell Link ویندوز است و به فایل میان‌بر اجازه می‌دهد تا فرمان واقعی اجراشده را مخفی کند؛ یعنی کاربر ممکن است آنچه را که می‌بیند اجرا کند اما فرمانی کاملاً متفاوت و مخرب اجرا شود.

نکته مهم اینکه این نوع بهره‌برداری نیازمند تعامل کاربر (مثل باز کردن یا پیش‌نمایش فایل میان‌بر) است، به همین دلیل شدت آن توسط برخی محققان 7.8 از 10 (در سطح «زیاد») ارزیابی شده است، نه بحرانی بدون نیاز به تعامل.

برای بارگذاری و حفظ دسترسی، مهاجمان از یک تروجان دسترسی راه‌دور (RAT) مشهور به نام PlugX استفاده کرده‌اند. PlugX به اپراتورها امکان شنود ارتباطات، استخراج فایل‌ها، اجرای فرمان‌ها و حفظ دسترسی بلندمدت را می‌دهد. پژوهشگران صدها و احتمالاً هزاران نمونه .LNK مرتبط یافته‌اند که نشان می‌دهد این بهره‌برداری بخشی از کمپین‌های جاسوسی طولانی‌مدت بوده و نمونه‌هایی از آن به سال 2017 بازمی‌گردد.

چرا این حمله به چین نسبت داده شد؟

Arctic Wolf Labs با اطمینان بالا این کمپین را به UNC6384 نسبت داده است. دلیل این نسبت‌دهی چندخطی است: ابزارها و بدافزار مورد استفاده، روش‌های تاکتیکی، اهداف همسو با عملیات پیشین و همپوشانی زیرساخت‌ها با نمونه‌های مستند قبلی. این نوع شواهدِ تلفیقی معمولاً در تحلیل‌های تهدید ملی به کار می‌رود.

چطور از خود محافظت کنید؟

  • ایمیل‌های ناخواسته یا پیوست‌های مشکوک را باز نکنید و خصوصاً فایل‌های .LNK را بدون بررسی اجرا نکنید.
  • پچ‌ها و به‌روزرسانی‌های ویندوز را فوراً نصب کنید تا آسیب‌پذیری‌های شناخته‌شده رفع شوند.
  • از راهکارهای آنتی‌بدافزار و EDR استفاده کنید که رفتارهای غیرعادی فایل‌های میان‌بر و بارگذاری بدافزار را شناسایی کنند.
  • آموزش‌های امنیتی برای کارکنان دیپلماتیک و دولتی برگزار کنید تا فیشینگ هدفمند بهتر شناسایی شود.

این رخداد یادآور آن است که حتی متحدان و شرکای نزدیک نیز ممکن است هدف عملیات سایبری پیچیده قرار بگیرند. وقتی هدف، دیپلمات‌ها و رویدادهای رسمی باشد، تبعات اطلاعاتی و سیاسی می‌تواند فراتر از سرقت داده‌های ساده باشد.

نوشته‌های مرتبط

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

به بالا بروید