Arctic Wolf Labs beobachtet seit September/Oktober 2025 eine Spionagekampagne des China-nahen Akteurs UNC6384 gegen diplomatische Einrichtungen in Ungarn, Belgien sowie weiteren EU-Ländern. Die Angreifer nutzen Spear-Phishing mit LNK-Dateien zu EU-/NATO-Terminen und weaponizen die im März 2025 offengelegte Windows-Verknüpfungs-Schwachstelle ZDI-CAN-25373. Über obfuskierte PowerShell-Ketten wird PlugX per DLL-Side-Loading in signierte Canon-Hilfsprogramme eingeschleust; Persistenz erfolgt u. a. via Run-Key. Identifizierte C2-Infrastruktur umfasst racineupci[.]org, dorareco[.]net und naturadeco[.]net.
Risiko: Vollwertige RAT-Fähigkeiten (Remote-Zugriff, Datenexfiltration, Keylogging) in diplomatischen Netzen.
Empfehlungen: LNK-Ausführung aus unsicheren Quellen unterbinden; Endpunkte auf ungewöhnliche Canon-Binaries (cnmpaui.exe/.dll, cnmplog.dat) in Benutzerpfaden prüfen; Verbindungen zu genannten Domains blockieren/monitoren; Anwender für gezielte Einladungs-/Konferenz-Lures sensibilisieren.
Ähnliche Beiträge:
Datenleck in Apples Wi-Fi Positionierungssystem gibt weltweit Gerätestandorte preis
Datenleck: Chinesischer Balkonkraftwerkhersteller Deye weist Verantwortung von sich
Datenleck bei Pinterest betrifft 60 Mio Datensätze
Datenschutz-Problem: Smart-TVs tracken Userverhalten mit ACR im Opt-Out Verfahren