La operación de ciberespionaje atribuida a la entidad vinculada a China UNC6384, conocida como Mustang Panda, ha puesto en el punto de mira a instituciones diplomáticas y gubernamentales europeas. Investigadores de Arctic Wolf y StrikeReady documentan que la campaña aprovecha la vulnerabilidad CVE-2025-9491 en el manejo de accesos directos de Windows (LNK) para entregar PlugX y tomar control encubierto de los sistemas comprometidos.
Panorama de la campaña: alcance europeo y señuelos creíbles
Entre septiembre y octubre de 2025 se observaron incidentes en Hungría, Bélgica, Italia, Países Bajos y Serbia. El vector inicial fueron correos de spear phishing que incluían URLs a ficheros LNK con temáticas plausibles: talleres de adquisiciones de la OTAN, reuniones de la Comisión Europea sobre control fronterizo y otras agendas multilaterales. La verosimilitud de estos señuelos eleva la tasa de clics y dificulta la detección en pasarelas de correo.
CVE-2025-9491: cómo se abusa del procesamiento de LNK en Windows
CVE-2025-9491 (CVSS 7.0) es una debilidad en la forma en que Windows gestiona los argumentos de línea de comandos dentro de accesos directos LNK. Los atacantes pueden ocultar parámetros maliciosos mediante espacios en la estructura COMMAND_LINE_ARGUMENTS, de modo que al abrir el LNK se ejecute código sin señales claras para el usuario. Según los análisis, el fallo se explota activamente y carece de parche oficial de Microsoft.
Cadena de ataque: PowerShell, TAR y DLL side-loading con Canon
Al ejecutarse el LNK, se invoca PowerShell para decodificar y extraer un archivo TAR, al tiempo que se muestra un PDF señuelo para desviar la atención. El paquete contiene una utilidad legítima Canon Printer Assistant, una DLL maliciosa denominada CanonStager y el payload cifrado de PlugX (cnmplog.dat). La carga se materializa mediante DLL side-loading: la aplicación confiable carga una biblioteca manipulada que inyecta el RAT sin despertar sospechas.
PlugX: capacidades, modularidad y evasión
PlugX (también conocido como Destroy RAT, Korplug, SOGU) proporciona control remoto completo: ejecución de comandos, keylogging, transferencia de archivos, persistencia vía registro y reconocimiento interno. Su arquitectura modular permite extender funciones con plugins, mientras que sus técnicas anti-debug y anti-análisis dificultan tanto el análisis estático como dinámico, favoreciendo la permanencia en entornos sensibles.
Evolución táctica: reducción de huella y entrega vía HTA
Los investigadores observan una optimización acelerada: el CanonStager pasó de ~700 KB a ~4 KB, lo que indica un esfuerzo por minimizar la huella y el riesgo de detección por firmas. Desde inicios de septiembre, el grupo incorporó archivos HTA para lanzar JavaScript que descarga cargas útiles desde un subdominio de cloudfront[.]net, añadiendo flexibilidad y resiliencia a la cadena de distribución.
Riesgo persistente: ausencia de parche y explotación generalizada
De acuerdo con Trend Micro, el abuso de CVE-2025-9491 se remonta al menos a 2017 y ha sido empleado por múltiples actores estatales y criminales, incluidos Evil Corp, APT43/Kimsuky, Bitter, APT37, SideWinder, RedHotel y Konni, además de Mustang Panda. Pese a la amplia explotación revelada en marzo de 2025, no existe actualización correctiva; Microsoft ha señalado detecciones en Microsoft Defender y protecciones como Smart App Control, pero la mitigación sigue recayendo en controles defensivos del cliente.
Medidas de mitigación prioritarias y detecciones recomendadas
Se recomienda restringir o bloquear LNK donde sea posible (políticas WDAC/AppLocker) y deshabilitar HTA (bloqueo de mshta.exe y reglas Attack Surface Reduction). Refuerce el correo con verificación estricta de URLs, sandbox de adjuntos y autenticación DMARC/DKIM/SPF. Implemente control de egreso y listeo de C2 reportado por los investigadores.
Para detección, monitorice invocaciones inusuales de PowerShell originadas por LNK, eventos de extracción de archivos TAR, ejecución de utilidades de Canon desde rutas atípicas y patrones de DLL side-loading. Active telemetría EDR, aplique PowerShell Constrained Language Mode, limite privilegios de administrador local y capacite al personal para identificar señuelos verosímiles.
Las campañas de Mustang Panda demuestran que mecanismos cotidianos de Windows como los LNK siguen siendo vectores eficaces cuando persisten fallas sin parche. Es aconsejable adoptar una postura de presunción de compromiso y robustecer controles por capas: políticas de ejecución, telemetría rica y caza proactiva basada en comportamiento. Revisar y endurecer hoy la superficie de ataque reducirá de forma sustancial la probabilidad de explotación de CVE-2025-9491 y la intrusión de PlugX en la infraestructura.
