10月31日消息,Arctic Wolf Labs今日发布最新报告称,其安全研究人员发现黑客组织UNC6384正在利用Windows零日漏洞,针对欧洲多国外交机构发动网络攻击。受到影响的包括匈牙利、比利时、塞尔维亚、意大利、荷兰及其他欧洲国家的外交部门。
针对外交活动的钓鱼攻击
Arctic Wolf Labs分析指出,此次攻击链始于带有外交会议主题的鱼叉式钓鱼邮件,诱骗收件人点击恶意LNK文件。这些文件伪装成与北约防务采购研讨会、欧盟委员会边境事务会议等相关的快捷方式文件。

攻击者利用一个高危的Windows LNK漏洞(编号CVE-2025-9491),植入了名为PlugX的远程访问木马程序,从而在受害系统中建立持久访问通道,借此监控外交通信并窃取敏感信息。

Arctic Wolf Labs确认,该行动归属于一个被追踪为UNC6384的黑客组织。该组织长期针对东南亚及欧洲的外交机构开展网络间谍活动。

攻击范围扩大
Arctic Wolf Labs与StrikeReady的联合分析显示,这一网络间谍活动在近期有所扩大。最初攻击目标集中在匈牙利与比利时的外交机构,如今已扩展至塞尔维亚政府部门及意大利、荷兰等国的外交实体。
Arctic Wolf Labs高度确信,此次攻击行动源于UNC6384组织。这一判断基于多项证据,包括恶意软件工具链、战术特征、攻击目标一致性以及与该组织以往行动的基础设施重叠。
零日漏洞仍未修补
该零日漏洞允许攻击者在目标Windows系统上远程执行任意代码,但需要受害者交互配合,例如访问恶意网页或打开恶意文件。
CVE-2025-9491存在于Windows处理.LNK快捷方式文件的方式中,攻击者可通过在快捷方式命令行参数结构中填充空格,隐藏恶意指令,从而在用户不知情的情况下执行代码。
早在2025年3月,趋势科技分析师就发现该漏洞已被至少11个黑客组织与网络犯罪团伙广泛利用,其中包括Evil Corp、APT43(又称Kimsuky)、Bitter、APT37、Mustang Panda、SideWinder、RedHotel、Konni等。
趋势科技当时指出:“这些攻击活动中使用了多种恶意软件载荷与加载器,如Ursnif、Gh0st RAT与Trickbot,并借助恶意软件即服务平台,使威胁形势更加复杂。”
微软今年3月曾回应媒体称,将“考虑修葺”该漏洞,但由于其“尚未达到立即修补的标准”,因此暂未发布安全更新。目前,这一被广泛利用的漏洞仍未有最新补丁。
