IT之家 10 月 31 日消息，Arctic Wolf Labs 今日發(fā)布報(bào)告，稱其安全研究人員發(fā)現(xiàn)黑客組織 UNC6384 正在利用 Windows 零日漏洞，對(duì)歐洲多國(guó)外交機(jī)構(gòu)展開(kāi)網(wǎng)絡(luò)攻擊，受影響的目標(biāo)包括匈牙利、比利時(shí)、塞爾維亞、意大利、荷蘭及其他歐洲國(guó)家的外交部門(mén)。

針對(duì)外交活動(dòng)的釣魚(yú)攻擊

據(jù) Arctic Wolf Labs，這一攻擊鏈?zhǔn)加趲в型饨粫?huì)議主題的魚(yú)叉式釣魚(yú)郵件，誘導(dǎo)收件人打開(kāi)惡意 LNK 文件。這些文件偽裝為與北約防務(wù)采購(gòu)研討會(huì)、歐盟委員會(huì)邊境事務(wù)會(huì)議等相關(guān)的快捷方式文件。

攻擊者利用一個(gè)高危的 Windows LNK 漏洞（IT之家注：編號(hào) CVE-2025-9491），植入名為 PlugX 的遠(yuǎn)程訪問(wèn)木馬（RAT）程序，以在受害系統(tǒng)中建立持久訪問(wèn)，從而監(jiān)控外交通信并竊取敏感信息。

Arctic Wolf Labs 指出，該行動(dòng)歸屬于一個(gè)被追蹤為 UNC6384 的黑客組織。該組織長(zhǎng)期針對(duì)東南亞及歐洲的外交機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)間諜活動(dòng)。

攻擊范圍擴(kuò)大

Arctic Wolf Labs 與 StrikeReady 的分析顯示，這一網(wǎng)絡(luò)間諜活動(dòng)在近期有所擴(kuò)大。最初攻擊目標(biāo)集中在匈牙利與比利時(shí)的外交機(jī)構(gòu)，如今已擴(kuò)展至塞爾維亞政府部門(mén)及意大利、荷蘭等國(guó)的外交實(shí)體。

Arctic Wolf Labs 高度確信，此次攻擊行動(dòng)源于 UNC6384 組織。這一判斷基于多項(xiàng)證據(jù)，包括惡意軟件工具鏈、戰(zhàn)術(shù)特征、攻擊目標(biāo)一致性以及與該組織以往行動(dòng)的基礎(chǔ)設(shè)施重疊。

零日漏洞仍未修補(bǔ)

該零日漏洞允許攻擊者在目標(biāo) Windows 系統(tǒng)上遠(yuǎn)程執(zhí)行任意代碼，但需受害者交互配合，例如訪問(wèn)惡意網(wǎng)頁(yè)或打開(kāi)惡意文件。

CVE-2025-9491 存在于 Windows 處理.LNK 快捷方式文件的方式中，攻擊者可通過(guò)在快捷方式命令行參數(shù)結(jié)構(gòu)中填充空格，隱藏惡意指令，從而在用戶不知情的情況下執(zhí)行代碼。

早在 2025 年 3 月，趨勢(shì)科技（Trend Micro）分析師就發(fā)現(xiàn)該漏洞已被至少 11 個(gè)黑客組織與網(wǎng)絡(luò)犯罪團(tuán)伙廣泛利用，其中包括 Evil Corp、APT43（又稱 Kimsuky）、Bitter、APT37、Mustang Panda、SideWinder、RedHotel、Konni 等。

趨勢(shì)科技當(dāng)時(shí)指出：“這些攻擊活動(dòng)中使用了多種惡意軟件載荷與加載器，如 Ursnif、Gh0st RAT 與 Trickbot，并借助惡意軟件即服務(wù)（MaaS）平臺(tái)，使威脅形勢(shì)更加復(fù)雜。”

微軟今年 3 月曾回應(yīng)媒體稱，將“考慮修復(fù)”該漏洞，但由于其“尚未達(dá)到立即修復(fù)的標(biāo)準(zhǔn)”，因此暫未發(fā)布安全更新。目前，這一被廣泛利用的漏洞仍未有官方補(bǔ)丁。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。