UNC6384 setzt Windows-Zero-Day ein – PlugX gegen diplomatische Vertretungen in Ungarn und Belgien

Arctic Wolf Labs hat eine aktive Cyberspionagekampagne des chinesisch verbundenen Bedrohungsakteurs UNC6384 entdeckt, die sich im September und Oktober 2025 gegen diplomatische Einrichtungen in Ungarn, Belgien und weiteren europäischen Staaten richtete. Nach Angaben des Unternehmens greifen die Angreifer eine kürzlich bekannt gewordene Windows-Shortcut-/LNK-Sicherheitslücke an (verfolgt als CVE-2025-9491, bekannt geworden unter ZDI-CAN-25373) und nutzen dafür ausgefeilte Social-Engineering-Techniken.

Die Angriffe begannen demnach mit gezielten Spearphishing-E-Mails, die eine eingebettete URL und anschließend zur Zustellung bösartiger LNK-Dateien führten. Die Themen der Phishing-Nachrichten orientierten sich an tatsächlichen diplomatischen Veranstaltungen — etwa NATO-Workshops zur Beschaffung von Verteidigungsgütern, Sitzungen der Europäischen Kommission zur Erleichterung des Grenzverkehrs und andere multilaterale Treffen.

Die LNK-Dateien sollen die Schwachstelle ausnutzen, um verschleierte PowerShell-Befehle auszuführen, eine mehrstufige Malware-Kette zu laden und schließlich den Remote-Access-Trojaner PlugX zu installieren. Arctic Wolf Labs beschreibt, dass die Kampagne DLL-Side-Loading legitimer, signierter Canon-Druckerassistent-Dienstprogramme nutzt (unter dem Namen CanonStager-Loader) und PlugX in Memory ausführt, um sich dauerhaft in kompromittierten Umgebungen zu etablieren und diplomatische Kommunikation sowie sensible Daten auszuspähen.

Die Sicherheitsforscher schreiben UNC6384 die Operation mit hoher Sicherheit zu — basierend auf Übereinstimmungen bei verwendeten Malware-Tools, Taktiken, Zielausrichtung und Infrastrukturüberlappungen mit früheren Aktivitäten der Gruppe. Arctic Wolf beobachtete mehrere parallele Vorgehensweisen, darunter direkte Spearphishing-Methoden und Techniken wie Captive-Portal-Hijacking, die zuvor von anderen Threat-Intelligence-Gruppen dokumentiert worden waren.

Wesentliche Erkenntnisse von Arctic Wolf Labs:

• UNC6384 hat die LNK-/Shortcut-Sicherheitslücke ZDI-CAN-25373/CVE-2025-9491 binnen sechs Monaten nach Bekanntwerden übernommen.

• Die Kampagne zielte auf diplomatische Einrichtungen in Ungarn und Belgien und breitete sich auf weitere europäische Einrichtungen aus.

• Social-Engineering-Inhalte nutzten detaillierte Informationen zu diplomatischen Konferenzen und Terminen.

• Die Angriffskette nutzt DLL-Side-Loading von signierten Canon-Drucker-Dienstprogrammen zur Bereitstellung von PlugX.

• PlugX wird in Memory ausgeführt, um dauerhaften Fernzugriff und verdeckte Datensammlung zu ermöglichen.

• Als Teile der Command-and-Control-Infrastruktur nennt Arctic Wolf Domains wie racineupci[.]org, dorareco[.]net, naturadeco[.]net und weitere.

• Der CanonStager-Loader zeigte zwischen September und Oktober 2025 eine Größenänderung von rund 700 KB auf etwa 4 KB, was auf aktive Weiterentwicklung hinweist.

UNC6384: Chinesischer Cyber-Spionageakteur mit Fokus auf diplomatische Ziele

UNC6384 ist ein chinesischer Cyberspionage-Akteur, der von der Google Threat Intelligence Group dokumentiert wurde. Die Gruppe konzentriert sich auf diplomatische Einrichtungen und weitete ihre Aktivitäten von Südostasien auf Europa aus. Sie nutzt komplexe Angriffsketten, die Social Engineering, Datenverkehrsmanipulation, digital signierte Downloader und speicherresidente Malware kombinieren.

Der Akteur setzt vor allem Varianten der PlugX-Malware (auch als SOGU.SEC bezeichnet) ein – ein seit 2008 genutztes, modular aufgebautes Spionagewerkzeug mit umfangreichen Fernzugriffsfunktionen. UNC6384 wird mit der Gruppe Mustang Panda (auch TEMP.Hex) in Verbindung gebracht. Beide teilen ähnliche Ziele, Taktiken und Infrastrukturen, darunter den Einsatz von PlugX und DLL-Side-Loading-Techniken.

Im September und Oktober 2025 führte UNC6384 eine neue Kampagne gegen diplomatische Einrichtungen in Ungarn und Belgien durch. Dabei nutzte die Gruppe die im März 2025 entdeckte Windows-Shortcut-Sicherheitslücke ZDI-CAN-25373, die verdeckte Befehlsausführung über manipulierte LNK-Dateien ermöglicht.

Die Angriffe begannen mit Spearphishing-E-Mails, die LNK-Dateien mit Themen diplomatischer Treffen enthielten – etwa Agenda_Meeting 26 Sep Brussels.lnk, das auf eine Sitzung der Europäischen Kommission verwies. Nach der Ausführung riefen diese Dateien PowerShell auf, um ein verschlüsseltes Archiv zu entpacken, das mehrere Komponenten installierte: ein legitim signiertes Canon-Dienstprogramm, eine bösartige DLL und eine verschlüsselte Payload.

Im Unterschied zu früheren, von Google dokumentierten Operationen, bei denen Captive-Portal-Hijacking zum Einsatz kam, nutzt UNC6384 nun mehrere parallel angepasste Angriffsmethoden – abhängig von Zielumgebung und Zugriffsoptionen.

Technische Analyse

Phase 1 — Erster Zugriff über bösartige LNK-Datei

Die Angriffsfolge startet mit einer LNK-Datei, die per Spearphishing zugestellt wird und die Schwachstelle ZDI-CAN-25373 ausnutzt. Durch Einfügen von Leerzeichen in die COMMAND_LINE_ARGUMENTS-Struktur der Shortcut-Datei kann der Angreifer Befehle heimlich ausführen. Beim Start ruft die LNK-Datei PowerShell mit einem verschleierten Befehl auf, entschlüsselt das Tar-Archiv rjnlzlkfe.ta, legt es in AppData\Local\Temp ab, extrahiert die Inhalte mit tar.exe -xvf und startet cnmpaui.exe. Parallel dazu wird dem Anwender ein PDF mit einer Tagesordnung für eine Sitzung der Europäischen Kommission (26. September 2025, Brüssel) angezeigt, um legitimen Zugriff vorzutäuschen.

Phase 2 — DLL-Side-Loading über signierte Binärdatei

Das Archiv enthält drei Komponenten, die DLL-Side-Loading ermöglichen. Die ausführbare Hauptdatei ist ein legitimes, digital signiertes Canon-Druckerassistenzprogramm (Signatur von Canon Inc., ausgestellt durch Symantec Class 3 SHA256 Code Signing CA). Trotz Ablaufs des Zertifikats am 19. April 2018 akzeptiert Windows die Binärdatei aufgrund eines gültigen Zeitstempels. Beim Start sucht cnmpaui.exe zuerst im aktuellen Verzeichnis nach cnmpaui.dll; der Angreifer legt hier eine bösartige DLL ab. Diese DLL dient als schlanker Loader und entschlüsselt die dritte Datei, cnmplog.dat, die die verschlüsselte PlugX-Payload enthält.

Phase 3 — Entschlüsselung und In-Memory-Ausführung

cnmplog.dat ist ein mit RC4 verschlüsselter Blob, der PlugX beinhaltet. Die bösartige DLL entschlüsselt ihn mit einem fest kodierten 16-Byte-RC4-Schlüssel und lädt die resultierende PlugX-Nutzlast direkt in den Adressraum des legitimen cnmpaui.exe-Prozesses. Dadurch läuft die Malware im Kontext eines vertrauenswürdigen, signierten Prozesses und umgeht Erkennungsmechanismen, die auf Prozessreputation oder statischer Analyse basieren.

Dieser dreistufige Ablauf ermöglicht die stille Bereitstellung von PlugX innerhalb eines legitimen Prozesses und reduziert die Entdeckungswahrscheinlichkeit durch Endpunkt-Sicherheitslösungen.

Grafik Quelle: Arctic Wolf

Analyse der Netzwerkinfrastruktur

UNC6384 betreibt eine verteilte Command‑and‑Control‑Infrastruktur, die über mehrere Domains und Registrar‑Anbieter in verschiedenen Regionen streut. Die Auswahl der Domains imitiert legitime Namensmuster, kombiniert mit geografischer Vielfalt, um Abschaltungen zu erschweren.

Genutzte C2‑Domains (HTTPS/443):

• Primär: racineupci[.]org, dorareco[.]net (Ziel: Ungarn/Belgien)

• Überschneidende Infrastruktur: naturadeco[.]net (Serbien), cseconline[.]org (Belgien), vnptgroup[.]it.com (Italien), paquimetro[.]net (frühere Kampagnen)

Analysen zeigen typische Muster staatlicher Akteure: Registrierung bei verschiedenen Anbietern zur Redundanz, Einsatz gültiger „Let’s Encrypt“-Zertifikate zur Vermeidung von Browserwarnungen und Namenskonventionen, die seriöse Organisationen nachahmen. Passive‑DNS‑Daten deuten auf Hosting über mehrere autonome Systeme und Standorte hin; einzelne Samples sind so konfiguriert, dass sie je nach Ziel oder Phase mit bestimmten Domains kommunizieren.

Opfer und Zielausrichtung

Die Kampagne ist gezielt auf europäische diplomatische Einrichtungen ausgerichtet, mit Schwerpunkt auf Akteuren, die sich mit Verteidigungszusammenarbeit, grenzüberschreitender Infrastruktur und multilateraler Koordination befassen.

Bestätigte Ziele laut Analyse:

• Ungarische diplomatische Einrichtungen (Köder: „Agenda_Meeting 26 Sep Brussels“)

• Belgische diplomatische Einrichtungen (Köder: Workshops des Joint Arms Training and Evaluation Centre, 9.–11. Sept. 2025)

• Serbische Behörden (Angriffe auf Luftfahrtbehörden, Köder zu NAJU‑Trainingsplänen)

• Hinweise auf weitere Kampagnen gegen Italien und die Niederlande (z. B. „EPC‑Einladungsschreiben Kopenhagen 1.–2. Okt. 2025“)

Die thematische Auswahl der Köder weist auf Informationsinteresse in drei Bereichen hin: Verteidigungs‑ und Sicherheitskooperation, grenzüberschreitende Infrastruktur und Handel sowie multilaterale diplomatische Koordination.

Attribution

Arctic Wolf Labs schreibt die Kampagne mit hoher Sicherheit UNC6384 zu. Die Bewertung stützt sich auf Übereinstimmungen bei Malware‑Tools, Taktiken, Zielausrichtung und Infrastrukturüberschneidungen mit früheren Operationen.

Empfehlungen zur Risikominderung (zusammengefasst)

• Blockieren oder Einschränken der Verarbeitung von .lnk‑Dateien und Deaktivierung automatischer Auflösung im Windows Explorer.

• Netzwerkweit Identifikation und Blockierung der genannten C2‑Domains; Monitoring versuchter Verbindungen nach der Blockierung.

• Überprüfung von Endpunkten auf ungewöhnliche Canon‑Binary‑Ausführungen (insbesondere cnmpaui.exe mit cnmpaui.dll und cnmplog.dat im selben Verzeichnis).

• Fortlaufende Benutzer‑Schulung gegen Phishing und ggf. Implementierung eines CTI‑Programms oder Managed Detection and Response.

Schlussfolgerung

Die Kampagne zeigt eine rasche Integration neuer Schwachstellen in operative Abläufe und eine gezielte Ausweitung auf europäische diplomatische Ziele. Die Struktur der C2‑Infrastruktur und die thematische Fokussetzung spiegeln strategische Informationsinteressen wider und erschweren Unterbrechungs‑ und Erkennungsmaßnahmen.

---