Arctic Wolf hat eine laufende Cyberspionagekampagne des chinesisch-affiliierten Bedrohungsakteurs UNC6384 aufgedeckt, die sich im September und Oktober gezielt gegen diplomatische Einrichtungen in Ungarn, Belgien und weiteren europäischen Staaten richtete.
Die Angreifer kombinieren eine neu entdeckte Windows-Schwachstelle (ZDI-CAN-25373) mit der seit Jahren aktiven Spionage-Malware PlugX und setzen dabei auf täuschend echte Phishing-Mails mit EU- und NATO-Konferenzthemen. Über eine mehrstufige Infektionskette und das DLL-Side-Loading legitimer Canon-Programme verschaffen sie sich verdeckten Zugriff auf Systeme diplomatischer Organisationen.
Die Kampagne zeigt die rasante Anpassungsfähigkeit chinesischer APT-Gruppen: Innerhalb von sechs Monaten nach Offenlegung der Schwachstelle wurde diese bereits in reale Angriffe integriert. Arctic Wolf Labs ordnet die Operation mit hoher Sicherheit der staatlich unterstützten Gruppe UNC6384 zu, die seit Jahren für ihre gezielten PlugX-Einsätze bekannt ist.
Info: Weitere Details zum Thema finden sich im Arctic Wolf Blogpost.
#ArcticWolf
