Исследовательское подразделение Arctic Wolf Labs выявило активную кибершпионскую кампанию, проводимую связанной с Китаем угрозой UNC6384 против европейских дипломатических структур в Венгрии, Бельгии и других странах Европы в сентябре и октябре 2025 года. Атака демонстрирует тактическую эволюцию группы, включая эксплуатацию уязвимости ZDI-CAN-25373 в ярлыках Windows, раскрытой в марте 2025 года, наряду с усовершенствованным социальным инжинирингом с использованием тем реальных дипломатических мероприятий.
Описание
Кампания начинается с целевых фишинговых писем, содержащих встроенный URL-адрес, который является первым из нескольких этапов, ведущих к доставке вредоносных LNK-файлов, тематически связанных с заседаниями Европейской комиссии, семинарами НАТО и мероприятиями по многосторонней дипломатической координации. Эти файлы используют недавно раскрытую уязвимость Windows для выполнения обфусцированных команд PowerShell, которые извлекают и развертывают многостадийную цепочку вредоносного программного обеспечения, завершающуюся развертыванием трояна удаленного доступа PlugX через подмену DLL легитимных подписанных вспомогательных утилит принтеров Canon.
Данная кампания демонстрирует способность UNC6384 к быстрому внедрению уязвимостей в течение шести месяцев после публичного раскрытия, продвинутому социальному инжинирингу с использованием детальных знаний о дипломатических календарях и темах мероприятий, а также операционному расширению от традиционных целей в Юго-Восточной Азии до европейских дипломатических структур. Группа сохраняет несколько параллельных операционных подходов, включая методику захвата порталов, задокументированную Google Threat Intelligence Group, наряду с прямой фишинговой атакой, наблюдаемой Arctic Wolf Labs.
Атака представляет значительный интерес для специалистов по кибербезопасности, поскольку демонстрирует устойчивую тенденцию китайских хакерских групп к быстрой интеграции свежих уязвимостей в свой арсенал. Уязвимость ZDI-CAN-25373, позволяющая скрытое выполнение команд через пробелы в структуре COMMAND_LINE_ARGUMENTS LNK-файлов, была оперативно принята на вооружение после ее мартовского раскрытия.
Многостадийная атака использует сложную технику подмены DLL, при которой легитимная подписанная утилита Canon printer assistant (cnmpaui.exe) загружает вредоносную библиотеку cnmpaui.dll из того же каталога. Эта библиотека функционирует как облегченный загрузчик, расшифровывающий и выполняющий файл cnmplog.dat, содержащий зашифрованный полезную нагрузку PlugX. Использование легитимных подписанных двоичных файлов значительно снижает вероятность обнаружения системами безопасности.
PlugX представляет собой модульный троян удаленного доступа, активно используемый китайскими хакерскими группами с 2008 года. Его возможности включают выполнение команд, кейлоггинг, операции с файлами, установление persistence и комплексную разведку системы. В данной кампании используется вариант, отслеживаемый Google как SOGU.SEC, который загружается в память через reflective code loading и выполняет обширные анти-аналитические проверки.
Исследователи отмечают значительную эволюцию загрузчика CanonStager с сентября по октябрь 2025 года - его размер сократился с примерно 700 КБ до всего 4 КБ, что свидетельствует об активной разработке и адаптации к методам обнаружения. Упрощенная архитектура последней версии сохраняет основную функциональность при резком сокращении следов для forensic-анализа.
Инфраструктура командования и управления включает домены racineupci[.]org, dorareco[.]net и naturadeco[.]net, использующие HTTPS через порт 443 для зашифрованной коммуникации. Анализ показывает, что UNC6384 поддерживает распределенную инфраструктуру с доменами, зарегистрированными через различных провайдеров, что осложняет усилия по их нейтрализации.
Целевыми объектами кампании стали дипломатические структуры Венгрии и Бельгии, вовлеченные в вопросы трансграничной политики, оборонного сотрудничества и многосторонней координации. Дополнительный анализ указывает на расширение таргетинг на сербские, итальянские и нидерландские правительственные и дипломатические организации.
Arctic Wolf Labs оценивает с высокой степенью уверенности, что данная кампания принадлежит UNC6384, основываясь на сходящихся линиях доказательств, включая инструментарий вредоносного программного обеспечения, тактические процедуры, соответствие таргетинга и пересечения инфраструктуры с ранее документированными операциями группы.
Для защиты от подобных атак организациям рекомендуется ограничить автоматическое разрешение LNK-файлов из ненадежных источников в Windows Explorer, блокировать идентифицированную инфраструктуру C2, проводить поиск файлов Canon printer assistant в нестандартных локациях и усиливать обучение сотрудников по распознаванию фишинговых атак. Отсутствие официального патча для уязвимости ZDI-CAN-25373 делает эти меры особенно актуальными для организаций дипломатического и государственного секторов.
Экспансия UNC6384 на европейские дипломатические цели свидетельствует либо о расширении мандата по сбору разведки, либо о развертывании дополнительных операционных команд с географической специализацией при сохранении централизованной разработки инструментов.
Индикаторы компрометации
Domains
- cseconline.org
- d32tpl7xt7175h.cloudfront.net
- mydownfile.z11.web.core.windows.net
- mydownload.z29.web.core.windows.net
- mydownloadfile.z7.web.core.windows.net
- naturadeco.net
- paquimetro.net
- racineupci.org
- vnptgroup.it.com
MD5
- 0a02938e088b74fe6be2f10bb9133f2a
- 0d0dd1cbde02e4e138c352b82a0288cc
- 227045c5c5c47259647f280bee8fe243
- dc1dba02ab1020e561166aee3ee8f5fb
- f15c9d7385cffd1d04e54c5ffdb76526
- f2d1fa1890e409996ed4a23bc69461fe
SHA256
- 1564e19b36ffc4e12becc4fb73359de13191ac8df62def45f045efbd6ef36e79
- 218ed813d8a4d9d05473338795021c66012cd6c36368561d3aaf831a5c494740
- 274adf7f60e0799b157e7524d503d345f6870010703fb6b56a3dd1e62b4de3e8
- 3fe6443d464f170f13d7f484f37ca4bcae120d1007d13ed491f15427d9a7121f
- 4ed76fa68ef9e1a7705a849d47b3d9dcdf969e332bd5bcb68138579c288a16d3
- 716637a424bce58ff8c75e40b6e29c33318ff185af6e9e62d85b61e56a560eac
- 7168838787039d82961836e5f2f9c70f3fe7c4d99a6c7c61405b3364ce37e760
- 7a49310a9192cab1aa05256b6ca0d0c1a54fe084b103ff4df2d17be9effa3300
- 911cccd238fbfdb4babafc8d2582e80dcfa76469fa1ee27bbc5f4324d5fca539
- ae8d2cef8eac099f892e37cc50825d329459baa9625b71fb6f4b7e8f33c6ccce
- bb491248bb8f6067af39e196b11f4e408a7a3885704cadbd4266db52ae4b03e2
- c3b7abcb583b90559af973dd18bf5ccba48d3323e5e2e8bc0b11ff54425e34dd
- c9128d72de407eede1dd741772b5edfd437e006a161eecfffdf27b2483b33fc7
- c96338533d0ab4de8201ce1f793e9ea18d30c6179daf1e312e0f01aff8f50415
- d70600f0e4367e6e3e07f7b965b654e5bfbcb0afbccfe0f6a9a8d9f69c7061a3
- e53bc08e60af1a1672a18b242f714486ead62164dda66f32c64ddc11ffe3f0df
- ee9295fa36e29808ff36beb55be328b68d82f267d2faa54db26e0bf86b78fa56
- f04340f93e2f5f7d6d5521572f17c5b80f39984ee6b4b8c0899380e95a825127
- f8d03814986599ed98ce8c83fbc9ce55b83095c179c54ec555c4ab372fa99700
Yara
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 | rule targeted_UNC6384_PlugX_2025 : extended description { meta: description = "Detects PlugX RAT variant deployed by UNC6384 in 2025 European diplomatic targeting campaign" author = "Arctic Wolf Labs" distribution = "TLP:GREEN" version = "1.0" last_modified = "2025-10-12" hash1_md5 = "dc1dba02ab1020e561166aee3ee8f5fb" hash1_sha256 = "3fe6443d464f170f13d7f484f37ca4bcae120d1007d13ed491f15427d9a7121f" strings: $str1 = "%allusersprofile%\\" ascii wide $str2 = "SecurityScan" ascii wide $str3 = "CanonPrinter" ascii wide $str4 = {63 00 6D 00 64 00 2E 00 65 00 78 00 65 00 20 00 2F 00 63 00 20 00 73 00 74 00 61 00 72 00} $str5 = {57 00 5C 00 5C 00 2E 00 5C 00 2A 00 3A 00} $str6 = {26 00 3D 00 25 00 53 00 25 00 63 00 74 00 3D 00 25 00 6C 00 64 00 25 00 53} condition: uint16(0) == 0x5a4d and filesize < 1500KB and all of ($str*) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 | rule targeted_UNC6384_CanonStager_Loader: extended description { meta: description = "Detects CanonStager DLL loader used for side-loading PlugX payload" author = "Arctic Wolf Labs" distribution = "TLP:GREEN" version = "1.0" last_modified = "2025-10-12" hash1_sha256 = "e53bc08e60af1a1672a18b242f714486ead62164dda66f32c64ddc11ffe3f0df" strings: $str1 = ".dat" wide $str2 = "\\cnmplog" wide // RC4 decryption loop patterns $code1 = {43 0F B6 ?? 0F B6 [3]00 D0 0F B6 ?? 8A 74 [2]88 74 [2]88 54 [2]8B 7? [2]02 54 [2]0F B6 ?? 0F B6 [3]32 14 ?? [0-4] 88 14 ?? 41 39 ?? 75 C?} $code2 = {0F B6 [3] 89 ?? 83 E? 0F 00 D0 02 ?? [1-2] 0F B6 ?? 8A 74 [2] 88 74 [2] 4? 88 54 [2]81 F? 00 01 00 00 75 D?} $code3 = {40 89 ?? 0F B6 C0 0F B6 [3]00 D9 88 9? [4-5]0F B6 F? 8A 7C 3? ?? 88 7C 0? ?? 88 5C 3? ?? 02 5C 0? ?? 0F B6 F? 0F B6 5C 3? ??} condition: uint16(0) == 0x5a4d and all of ($str*) and 2 of ($code*) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 | rule targeted_UNC6384_LNK_Exploitation: extended description { meta: description = "Detects malicious LNK files exploiting ZDI-CAN-25373 to deploy UNC6384 payloads" author = "Arctic Wolf Labs" distribution = "TLP:GREEN" version = "1.0" last_modified = "2025-10-12" strings: $lnk_header = {4C 00 00 00 01 14 02 00} $powershell = "powershell" nocase $tar_extract = "tar" nocase $cnmpaui = "cnmpaui.exe" nocase $temp_path = "$Env:temp" nocase ascii wide $readbytes = "ReadAllBytes" nocase condition: $lnk_header at 0 and filesize < 10KB and $powershell and $tar_extract and ($cnmpaui or $temp_path) and $readbytes } |
