La campagne chinoise UNC6384 exploite intelligemment la vulnérabilité Windows .LNK, selon une société de sécurité.
Des pirates chinois ont été repérés ciblant des diplomates européens en utilisant une vulnérabilité de raccourci Windows de longue date, populaire auprès des groupes malveillants dès 2017.
Selon la société de sécurité Arctic Wolf, dont les chercheurs ont découvert la dernière campagne, les dernières attaques ont vu des courriels de spear phishing envoyés à des fonctionnaires travaillant pour les gouvernements de Hongrie, de Belgique, de Serbie, d’Italie et des Pays-Bas en septembre et octobre.
Le groupe géré par le gouvernement chinois soupçonné d’être à l’origine de la campagne est nommé UNC6384 par le Google Threat Intelligence Group (GTIG). Le même groupe aurait ciblé des diplomates de plusieurs pays asiatiques au début de l’année 2025, ce qui pourrait donner l’impression que l’UNC6384 est un acteur malveillant récemment découvert, d’où son statut UNC (« non classé »).
Toutefois, Arctic Wolf a déclaré qu’elle pensait que les outils, techniques et procédures (TTP) du groupe ressemblaient fortement à ceux d’un groupe menaçant chinois connu, « Mustang Panda », qui existe depuis 2012.
À première vue, cela ressemble à une autre campagne de cyberespionnage chinoise contre des gouvernements étrangers. Mais il y a une histoire plus profonde : la vulnérabilité Windows utilisée dans la campagne, que Microsoft n’a pas voulu – ou n’a pas pu – corriger jusqu’à présent.
Défaut fantôme
Selon Arctic Wolf, la dernière campagne a utilisé des courriels de spear phishing à thème diplomatique pour inciter les cibles à exécuter des fichiers de raccourci Windows .LNK malveillants. La vulnérabilité provient d’une faille dans l’analyse de l’interface utilisateur Windows qui permet de masquer les instructions de ligne de commande dans les espaces au format .LNK.
Cela permet aux attaquants de lancer une séquence d’actions malveillantes tout en affichant un leurre PDF montrant l’ordre du jour d’une véritable réunion de la Commission européenne prévue à Bruxelles le 26 septembre. Le résultat est le déploiement du cheval de Troie d’accès à distance PlugX, populaire depuis 2008 comme outil pour ouvrir des portes dérobées dans les systèmes Windows.
Trend Micro a informé Microsoft de la vulnérabilité en septembre 2024, après quoi il a reçu un identifiant CVE-2025-9491. Cependant, il s’avère que la Zero Day Initiative (ZDI) de l’entreprise avait remarqué le même problème en 2017, lorsqu’elle avait reçu un identifiant de « candidat » interne distinct, ZDI-CAN-25373.
« La vulnérabilité a été exploitée par des groupes APT parrainés par des États de Corée du Nord, d’Iran, de Russie et de Chine », a déclaré Trend Micro dans un blog de mars 2018.
Malgré l’existence d’un CVE formel, Microsoft semble réticent à résoudre le problème. Comme Trend Micro l’a noté dans un blog plus récent datant de 2025, « nous avons soumis un exploit de validation de principe via le programme de prime aux bogues de Trend ZDI à Microsoft, qui a refusé de corriger cette vulnérabilité avec un correctif de sécurité. »
Cette réticence vient probablement du fait que CVE-2025-9491/ZDI-CAN-25373 serait difficile à corriger sans interrompre les applications existantes qui dépendent de sa conception actuelle.
Atténuation
En l’absence de correctif, les organisations préoccupées par les attaques .LNK devraient envisager de bloquer les fichiers .LNK ou de désactiver leur exécution dans l’Explorateur Windows, a conseillé Arctic Wolf.
« Cela devrait être mis en place sur tous les systèmes Windows, en donnant la priorité aux points de terminaison utilisés par le personnel ayant accès à des informations diplomatiques ou politiques sensibles. Bien que cette vulnérabilité ait été révélée en mars 2025, son adoption par les acteurs malveillants dans les mois suivant la divulgation nécessite une surveillance et des contre-mesures urgentes », a-t-il déclaré.
Les organisations pourraient également bloquer les domaines de commande et de contrôle (C2) utilisés par les attaquants, même si ceux-ci évolueront au fil du temps. De plus, Arctic Wolf recommande aux équipes informatiques de rechercher la présence d’utilitaires d’assistance d’imprimante Canon tels que , qui font partie de la chaîne d’exploitation de la campagne.
« L’ampleur du ciblage dans plusieurs pays européens dans un laps de temps condensé suggère soit une opération coordonnée de collecte de renseignements à grande échelle, soit le déploiement de plusieurs équipes opérationnelles parallèles avec des outils partagés mais un ciblage indépendant », a noté Arctic Wolf, ajoutant que le fait que l’UNC6384 ait sauté sur la faille si rapidement depuis qu’il a été rendu public plus tôt en 2025 suggérait que le groupe avait accès à des capacités et des ressources avancées.
Ce n’est pas comme si les attaques exploitant les fichiers de raccourci Windows de différentes manières étaient terriblement nouvelles ou innovantes. En 2025, ils ont été exploités de différentes manières par des cyber-campagnes russes contre l’Ukraine, des attaques chinoises utilisant le Remcos RAT et pour cibler des entreprises aux Émirats arabes unis (EAU). En juin, la technique a été utilisée pour masquer les charges utiles lors d’attaques abusant du service Cloudflare Tunnel. Le problème est en réalité que ce type de faille, qui exploite une fonctionnalité par ailleurs utile, est tout simplement difficile à corriger.
