{ "@context": "https://schema.org", "@type": "NewsArticle", "headline": "Chinese hackers richten zich op EU-diplomaten via Windows-exploit", "description": "Chinese hackers van UNC6384 vallen EU-diplomaten aan via een Windows-lek met kwaadaardige .lnk-bestanden en PlugX-malware.", "articleBody": "De Chinese cyberdreigingsgroep UNC6384, eerder bekend vanwege aanvallen op diplomaten in Zuidoost-Azië, richt zich nu ook op Europese landen. Gedurende twee maanden werden doelwitten in Nederland, België, Italië, Hongarije en Servië aangevallen. De aanvallen maakten gebruik van een al langer bekend Windows-lek, ZDI-CAN-25373. Microsoft heeft geen oplossing voor dit probleem, dat volgens een Trend Micro-onderzoeker moeilijk op te lossen is. De aanvallen werden uitgevoerd via kwaadaardige .lnk-bestanden die malware downloaden. UNC6384, ook wel bekend als \"Mustang Panda\", begon de campagne met spearphishing-mails gericht op diplomatieke leidinggevenden. Deze mails bevatten .lnk-bestanden vermomd als uitnodigingen voor Europese Commissievergaderingen en NAVO-workshops. Via PowerShell-commando's werd de PlugX remote access trojan (RAT) geladen. De aanvalsketen omvatte meerdere stappen. Na het openen van het .lnk-bestand werd een tar-archief gedecrypteerd met een legitieme Canon-tool, voorzien van een geldige digitale handtekening. Deze tool werd misbruikt via DLL side-loading om kwaadaardige code uit te voeren. Het RC4-versleutelde PlugX-bestand draaide vervolgens in het geheugen binnen het Canon-proces. Arctic Wolf Labs merkt op dat de campagne een tactische evolutie van UNC6384 laat zien, met een verschuiving van Zuidoost-Azië naar Europa. Bevestigde doelwitten zijn Hongarije en België, maar ook Servië, Italië en Nederland werden aangevallen. De lokmiddelen hadden betrekking op grenscontrole, defensie-aanbestedingen en diplomatieke coördinatie. Google’s Threat Intelligence Group identificeerde UNC6384/Mustang Panda deze zomer. De groep deelt targeting-profielen, infrastructuur en het gebruik van PlugX-malware. De snelle adoptie van een recent ontdekte kwetsbaarheid toont hun vermogen om snel nieuwe exploits te integreren. Arctic Wolf Labs zag veranderingen in de CanonStager-loader, die van 700KB naar 4KB kromp. De nieuwste versie gebruikt standaard C runtime libraries, wat wijst op actieve ontwikkeling als reactie op detecties. PlugX bevat uitgebreide anti-analyse-maatregelen en communiceert met C2-infrastructuur via HTTPS op poort 443. De aanvallers gebruiken meerdere domeinen met geldige Let’s Encrypt-certificaten. PlugX maakt verborgen mappen aan en zorgt voor persistentie via de Windows Registry Run-key. De malware verzamelt telemetrie en stuurt deze naar command-and-control-servers. Omdat er geen officiële patch is voor ZDI-CAN-25373, moeten organisaties de automatische resolutie van .lnk-bestanden uitschakelen en de geïdentificeerde C2-domeinen blokkeren. Endpoints moeten worden gescand op Canon printer-utilities op ongebruikelijke locaties. Arctic Wolf benadrukt het belang van proactieve threat hunting en security awareness training, met een focus op het herkennen van spearphishing-pogingen.", "datePublished": "2025-10-31T13:00:32.000Z", "dateModified": "2025-10-31T00:00:00.000Z", "mainEntityOfPage": { "@type": "WebPage", "@id": "/nieuws/nieuwsfeed/item/chinese-hackers-richten-zich-op-eu-diplomaten-via-windows-exploit/r/recNvrc4vr3C6ka9y" }, "isBasedOn": { "@type": "CreativeWork", "@id": "https://www.techzine.nl/nieuws/security/571415/eu-diplomaten-doelwit-van-chinese-aanvallers-via-windows-exploit/" }, "publisher": { "@type": "Organization", "name": "IBgidsNL", "url": "https://ibgids.nl" }, "author": { "@type": "Organization", "name": "IBgidsNL", "url": "https://ibgids.nl" }, "image": "https://v5.airtableusercontent.com/v3/u/46/46/1761926400000/0X_M2JxvpGD8iTeoUHPoCw/8r7FHVTg2g5srqlFNtsR2ZLbGd98FiF_JVLh37KtCjdy2FegIJVd3d6HNTJngLJaUeqaOLF2_3SJRRIJA9i6ebRjPxGXf6VuAjpCQH17ea7YdJtvh3e4bQqBgGGwxkwBv_EbU16VO-n-YErWD1Bpgg/R4q80TH-byMHOPGvpBx3AgYGXw4_FjFHzgQ6UK5y7h0" }