Arctic Wolf’un yakın tarihli bir raporu, Çin merkezli bir tehdit aktörü olan UNC6384’ün, Avrupa’daki diplomatik ve hükümet kuruluşlarına yönelik siber saldırılar düzenlediğini ortaya koydu. Saldırılar, yamanmamış bir Windows kısayol (LNK) güvenlik açığından yararlanarak Eylül ve Ekim 2025 ayları arasında gerçekleşti. Hedeflenen ülkeler arasında Macaristan, Belçika, İtalya, Hollanda ve Sırbistan bulunuyor.
Saldırı zinciri, kurum çalışanlarına gönderilen hedefli oltalama (spear-phishing) e-postalarıyla başlıyor. Bu e-postalardaki bağlantılar, Avrupa Komisyonu toplantıları, NATO temalı çalıştaylar veya diplomatik koordinasyon etkinlikleri gibi konularla ilgili zararlı LNK dosyalarına yönlendiriyor. Bu dosyalar, ZDI-CAN-25373 olarak kodlanan bir güvenlik açığını istismar ederek sistemde kötü amaçlı komutların yürütülmesine olanak tanıyor. Bu açık, CVE-2025-9491 kimliğiyle takip ediliyor ve 7.0 CVSS puanına sahip.
Güvenlik açığının kötüye kullanılması, DLL yan yükleme yöntemiyle PlugX adlı kötü amaçlı yazılımın sisteme yerleştirilmesine yol açıyor. PlugX, Destroy RAT, Korplug, SOGU ve TIGERPLUG gibi adlarla da bilinen bir uzaktan erişim trojanı (RAT). Bu zararlı yazılım, saldırganlara sistem üzerinde tam kontrol imkanı sağlıyor; komut yürütme, dosya yükleme ve indirme, tuş kaydı, kalıcılık sağlama ve sistem keşfi gibi çeşitli işlevleri barındırıyor.
Google Threat Intelligence Group’un analizleri, UNC6384’ün kullandığı araç seti ve taktiklerin, Çin bağlantılı başka bir hacker grubu olan Mustang Panda ile benzerlik gösterdiğini ortaya koyuyor. Grup ayrıca, PlugX’in bellek üzerinde çalışan SOGU.SEC adlı bir varyantını da kullanıyor.
Arctic Wolf’un teknik raporuna göre, saldırılarda kullanılan LNK dosyaları, bir PowerShell komutu aracılığıyla arşiv dosyalarını çözüp zararlı bileşenleri sisteme yüklerken, kullanıcılara sahte bir PDF belgesi gösteriyor. Bu arşivde üç dosya bulunuyor: meşru bir Canon yazıcı yardımcı programı, CanonStager adında kötü amaçlı bir DLL dosyası ve şifrelenmiş PlugX yükü olan “cnmplog.dat”. DLL dosyası, bu şifreli veriyi açarak kötü amaçlı yazılımı etkinleştiriyor.
PlugX, Windows kayıt defterinde değişiklikler yaparak sistemde kalıcılık sağlıyor ve analiz araçlarını atlatmak için anti-debugging teknikleri uyguluyor. Saldırılarda kullanılan CanonStager bileşeninin boyutu, Eylül ayından Ekim ayına kadar 700 KB’den 4 KB’ye düşmüş durumda. Bu durum, zararlı kodun aktif olarak geliştirildiğini ve tespit edilmesini zorlaştıracak şekilde optimize edildiğini gösteriyor.
Eylül ayının başlarında tespit edilen bir varyantta, UNC6384’ün zararlı dosyaları dağıtmak için HTML Application (HTA) tabanlı yeni bir yöntem kullandığı belirlendi. Bu yöntem, uzak bir JavaScript dosyası üzerinden CloudFront altyapısındaki bir alt alan adından zararlı yükleri indiriyor. Bu teknik, zararlı içeriğin tespit edilmesini daha da zorlaştırıyor.
Siber güvenlik uzmanları, kampanyanın Avrupa’daki savunma iş birliği, sınır ötesi politika koordinasyonu ve çok taraflı diplomatik girişimlerle ilgilenen kuruluşları hedef aldığını belirtiyor. Arctic Wolf, bu saldırıların Çin’in Avrupa’daki diplomatik bağları, savunma politikaları ve ittifak yapılarına dair stratejik bilgi toplama faaliyetleriyle uyumlu olduğunu vurguluyor.
Saldırı kampanyasının devam ettiği ve Microsoft’un Defender sistemi ile Smart App Control özelliğinin bu tehdide karşı bir algılama katmanı sağladığı bildiriliyor. Ancak güvenlik araştırmacıları, açığın henüz Microsoft tarafından resmi olarak yamalanmadığını ve kullanıcıların bilinmeyen bağlantılara tıklamama konusunda son derece dikkatli olmaları gerektiğini belirtiyor.
