Китайсько-афілійоване угруповання UNC6384 (Mustang Panda) розгорнуло цілеспрямовану кампанію кібершпигунства проти європейських дипломатичних і державних структур, задіявши невиправлену уразливість обробки ярликів Windows — CVE-2025-9491. За даними Arctic Wolf і StrikeReady, цю прогалину зловмисники застосовують для прихованої доставки бекдора PlugX і подальшого віддаленого контролю над системами жертв.
Географія та вектори: підміна під офіційні заходи НАТО й Єврокомісії
Атаки зафіксовано у Угорщині, Бельгії, Італії, Нідерландах та Сербії у період з вересня по жовтень 2025 року. Перший крок — цільові фішингові листи із URL-посиланнями на LNK-файли, масковані під тематику оборонних воркшопів НАТО, зустрічей з питань прикордонного контролю в Єврокомісії та інших багатосторонніх дипломатичних подій. Такий контент підвищує довіру одержувачів і ускладнює відсів на рівні поштових шлюзів.
Технічна схема компрометації: CVE-2025-9491 і зловживання LNK
CVE-2025-9491 (CVSS 7.0) — вада в парсері ярликів Windows, яка дозволяє приховувати шкідливі аргументи командного рядка у структурі COMMAND_LINE_ARGUMENTS, зокрема за допомогою пробільних відступів. Відкриття такого ярлика призводить до виконання коду без очевидних попереджень для користувача, що робить атаку малопомітною.
У виявлених інцидентах запуск LNK ініціює PowerShell, який розпаковує TAR-архів та паралельно показує PDF-приманку. Архів містить легітимну утиліту Canon Printer Assistant, шкідливу DLL CanonStager та зашифрований пейлоад PlugX (файл cnmplog.dat). Завантаження відбувається через DLL side-loading: довірена програма підтягує «підмінену» бібліотеку, яка розгортає бекдор.
PlugX: можливості, модульність і протидія аналізу
PlugX (відомий як Destroy RAT, Kaba, Korplug, SOGU, TIGERPLUG) забезпечує зловмисникам повноцінний віддалений доступ: виконання команд, кейлогінг, ексфільтрацію та завантаження файлів, закріплення через зміни реєстру й масштабну розвідку системи. Модульна архітектура дозволяє швидко нарощувати функціонал через плагіни, а вбудовані антивідладочні та антианалітичні механізми ускладнюють як статичний, так і динамічний аналіз.
Еволюція TTP: мінімізація артефактів і HTA-доставка
Дослідники фіксують активну оптимізацію інструментів. Розмір CanonStager зменшився приблизно з 700 КБ до 4 КБ, що скорочує площу детектування. Від початку вересня група також застосовує HTML Application (HTA)-файли для запуску JavaScript, який завантажує пейлоад із піддоменів cloudfront[.]net, розширюючи варіативність каналів доставки.
Чому ризик зберігається: відсутність офіційного патча
Проблема CVE-2025-9491 існує щонайменше з 2017 року та масово експлуатується різними угрупованнями. У березні 2025 року Trend Micro повідомила про широке зловживання вразливістю як «державними» акторами, так і кіберзлочинцями, включно з Evil Corp, APT43/Kimsuky, Bitter, APT37, Mustang Panda, SideWinder, RedHotel та Konni. Попри це, офіційного виправлення від Microsoft немає; компанія заявляла про опрацювання патча, посилаючись на вбудовані детектори в Microsoft Defender і додатковий бар’єр Smart App Control.
Практичний захист: політики запуску, поштові шлюзи та моніторинг
Рекомендовано обмежити або заборонити LNK там, де це можливо (WDAC/AppLocker), а також відключити HTA (блокування mshta.exe, правила Attack Surface Reduction). Посиліть поштовий периметр: сувора валідація URL, sandbox для вкладень, коректна конфігурація DMARC/DKIM/SPF. Налаштуйте egress-контроль і блокуйте C2-інфраструктуру, описану дослідниками.
Розширте можливості виявлення: відстежуйте нетипові запуски PowerShell із ярликів, появу розпаковок TAR, запуск легітимних програм Canon із незвичних каталогів, а також ознаки DLL side-loading. Вмикайте телеметрію EDR, застосовуйте Constrained Language Mode для PowerShell, зменшуйте права локальних адміністраторів і проводьте навчання персоналу з розпізнавання фішингу.
Кампанія Mustang Panda демонструє, що «буденні» механізми Windows на кшталт ярликів LNK лишаються ефективним каналом шпигунства за відсутності патча. Організаціям варто виходити з припущення про можливий компромет і будувати багаторівневий захист: від жорстких політик запуску та сценарного моніторингу до безперервного мисливства за загрозами й оновлення правил детектування. Дійте проактивно сьогодні, щоб знизити ймовірність експлуатації CVE-2025-9491 і проникнення PlugX у вашу інфраструктуру.
