- استخدمت Mustang Panda CVE-2025-9491 لاستهداف الدبلوماسيين الأوروبيين عبر ملفات التصيد الاحتيالي وملفات LNK الضارة
- يعمل الخلل المستغل في Windows Shell Link على نشر PlugX RAT للوصول المستمر واستخلاص البيانات
- وتربط مئات العينات بين يوم الصفر وحملات التجسس الصينية المستمرة منذ عام 2017 على الأقل.
حذر باحثون أمنيون من أن الجهات الفاعلة التي ترعاها الدولة الصينية تستغل ثغرة Windows Zero Day لاستهداف الدبلوماسيين في جميع أنحاء القارة الأوروبية.
قال الباحثون الأمنيون في Arctic Wolf Labs مؤخرًا إنهم لاحظوا جهة فاعلة تابعة لدولة قومية تُعرف باسم Mustang Panda (UNC6384) ترسل رسائل بريد إلكتروني للتصيد الاحتيالي إلى دبلوماسيين في المجر وبلجيكا وصربيا وإيطاليا وهولندا.
ومن الغريب أن المجر وصربيا من بين الضحايا، وهما دولتان تربطهما علاقات قوية مع الصين، وتعتبران في كثير من الأمور حلفاء وشركاء للصين – على الرغم من الكشف في أغسطس 2025 عن أن الصين كانت تتجسس على حليف رئيسي آخر – روسيا.
إساءة استخدام ملفات LNK
وأوضح الباحثون أن رسائل البريد الإلكتروني التصيدية كانت تدور حول ورش عمل المشتريات الدفاعية لحلف الناتو، واجتماعات تيسير الحدود التابعة للمفوضية الأوروبية، وغيرها من الأحداث الدبلوماسية المماثلة.
حملت هذه الملفات ملف LNK ضارًا، والذي تم تصميمه، من خلال إساءة استخدام CVE-2025-9491، لنشر حصان طروادة للوصول عن بعد (RAT) يسمى PlugX. يمنح برنامج RAT هذا مشغليه إمكانية الوصول المستمر إلى النظام المخترق، بالإضافة إلى القدرة على التنصت على الاتصالات وتصفية الملفات والمزيد.
ينبع الخطأ من الطريقة التي يتعامل بها Windows مع ملفات الاختصار ويتم وصفه على أنه مشكلة تحريف واجهة المستخدم في آلية Shell Link. فهو يتيح لملف .LNK معدًا إخفاء سطر الأوامر الحقيقي بحيث يتم تشغيل أمر ضار مختلف عندما يقوم المستخدم بتشغيل الاختصار أو معاينته.
نظرًا لأن الاستغلال يتطلب تفاعل المستخدم، فقد تم منح الخطأ درجة خطورة منخفضة نسبيًا تبلغ 7.8/10 (عالية). ومع ذلك، وجد الباحثون المئات (وربما حتى الآلاف) من عينات LNK، التي تربط الخلل بحملات تجسس طويلة الأمد، مع بعض الأمثلة التي يعود تاريخها إلى عام 2017.
وقال الباحثون: “تقيم شركة Arctic Wolf Labs بثقة عالية أن هذه الحملة تُعزى إلى UNC6384، وهي جهة فاعلة لتهديد التجسس الإلكتروني تابعة للصين”.
“يعتمد هذا الإسناد على عدة خطوط متقاربة من الأدلة بما في ذلك أدوات البرامج الضارة والإجراءات التكتيكية ومواءمة الاستهداف وتداخل البنية التحتية مع عمليات UNC6384 الموثقة مسبقًا.”
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات