Die mit China in Verbindung gebrachte Gruppe Mustang Panda (UNC6384) fuehrt eine koordinierte Cyberspionagekampagne gegen diplomatische und staatliche Stellen in Europa durch. Nach Erkenntnissen von Arctic Wolf und StrikeReady missbrauchen die Angreifer die LNK-Schwachstelle CVE-2025-9491, um unbemerkt den Remote-Access-Trojaner PlugX einzuschleusen und die kompromittierten Systeme fernzusteuern.
Zielsektoren und Regionen: Diplomatische Institutionen im Fokus
Zwischen September und Oktober 2025 wurden Aktivitaeten in Ungarn, Belgien, Italien, den Niederlanden und Serbien beobachtet. Der Erstzugang erfolgt ueber gezielte Phishing-Mails mit URLs zu LNK-Dateien, die als Einladungen oder Unterlagen zu NATO-Workshops, EU-Kommissionssitzungen und anderen multilateralen Formaten getarnt sind. Dieser thematische Kontext erhoeht die Klickrate und erschwert die Abwehr an E-Mail-Gateways.
Technische Analyse: CVE-2025-9491 und die Infektionskette
CVE-2025-9491 (CVSS 7.0) betrifft die Verarbeitung von Windows-Shortcuts (LNK). Angreifer koennen Argumente der Befehlszeile durch gezielte Leerzeichen in der Struktur COMMAND_LINE_ARGUMENTS verbergen. Das Oeffnen des Shortcuts fuehrt dann zur Ausfuehrung von Code, ohne dass der Nutzer visuelle Warnsignale erhaelt.
In der aktuellen Kampagne startet der LNK-Link PowerShell, dekodiert ein TAR-Archiv und zeigt parallel eine PDF-Koederdatei an. Im Archiv liegen eine legitime Canon Printer Assistant-Binary, die boesartige DLL CanonStager und ein verschluesselter PlugX-Payload (cnmplog.dat). Die nachgelagerte Ausfuehrung erfolgt via DLL Side-Loading: Das vertrauenswuerdige Canon-Programm laedt die manipulierte Bibliothek und initialisiert den Schadcode.
PlugX-Funktionen und Persistenz
PlugX (auch Destroy RAT, Korplug, SOGU) bietet umfassenden Fernzugriff: Kommandausfuehrung, Keylogging, Datei-Transfer, Persistenz über Registry-Aenderungen sowie umfangreiche Systemaufklaerung. Die modulare Architektur erlaubt die Erweiterung durch Plugins; Anti-Debugging– und Anti-Analyse-Techniken erschweren signatur- und verhaltensbasierte Analysen.
Weiterentwicklung der TTPs: Minimale Artefakte und HTA-Variante
Forscher berichten von einer deutlichen Optimierung der Werkzeuge: Die Groesse von CanonStager schrumpfte von etwa 700 KB auf rund 4 KB, was die Detektionsflaeche signifikant reduziert. Seit Anfang September kommt zudem ein HTA-Delivery-Pfad zum Einsatz: HTML-Applications laden JavaScript nach, das Payloads ueber einen cloudfront[.]net-Subdomain bezieht. Diese Architektur erhoeht die Flexibilitaet und erschwert statische Prüfungen.
Warum die Bedrohung anhaelt: Keine Patches, breite Ausnutzung
Laut Trend Micro wird CVE-2025-9491 mindestens seit 2017 in der Wildnis ausgenutzt und betraf sowohl staatliche Akteure als auch Cybercrime-Gruppen, darunter Evil Corp, APT43/Kimsuky, Bitter, APT37, SideWinder, RedHotel und Konni. Ein offizieller Patch von Microsoft steht weiterhin aus. Microsoft verweist auf Erkennungen in Defender sowie Schutz durch Smart App Control, was jedoch lediglich kompensierende Kontrollen darstellt.
Einordnung und Abwehr: Was jetzt priorisieren
Der Missbrauch von LNKs kombiniert mehrere Taktiken des MITRE ATT&CK-Frameworks, u. a. Phishing (T1566), User Execution (T1204) und DLL Search Order Hijacking (T1574.002). Ohne Patch sind Härtungsmassnahmen auf Endpoint- und Gateway-Ebene entscheidend: WDAC/AppLocker zum Einschraenken von LNK-Startpfaden, Blockade von HTA (mshta.exe, Attack Surface Reduction-Regeln), strenge URL- und Dateisandboxing-Pruefungen sowie DMARC/DKIM/SPF zur Absicherung der Mail-Kette.
Im Monitoring sollten ungewoehnliche PowerShell-Aufrufe aus LNK-Kontext, TAR-Entpackvorgaenge, das Laden legitimer Canon-Binaries aus atypischen Verzeichnissen und Anzeichen von DLL Side-Loading priorisiert werden. Aktivieren Sie umfassende EDR-Telemetrie, setzen Sie PowerShell in den Constrained Language Mode, minimieren Sie lokale Adminrechte und fuehren Sie regelmaessige Threat-Hunting-Zyklen auf Verhaltensindikatoren durch.
Organisationen sollten kurzfristig Richtlinien zur Ausfuehrung von LNK/HTA strikt handhaben, Proxy-gestuetzte Egress-Kontrollen samt Sperrlisten der identifizierten C2-Infrastruktur umsetzen und Anwender gezielt zu speerphishing-typischen Erkennungsmerkmalen schulen. Je frueher Prozesse, Regeln und Telemetrie nachgeschaerft werden, desto geringer ist das Risiko einer erfolgreichen Ausnutzung von CVE-2025-9491 und der nachfolgenden Implantierung von PlugX.
