EU-diplomaten doelwit van Chinese aanvallers via Windows-exploit

In dit artikel:

De Chinese APT-groep UNC6384 (ook bekend als Mustang Panda) heeft in een recent twee maanden durende campagne diplomatieke en overheidsdoelen in Europa aangevallen. Bevestigde doelwitten zijn Nederland, België, Italië, Hongarije en Servië; de campagne volgde op eerdere activiteiten van dezelfde groep in Zuidoost‑Azië. Google’s Threat Intelligence Group signaleerde de groep deze zomer en Arctic Wolf Labs bracht de operationele details naar buiten.

Aanvalsmethode: de aanvallers stuurden gerichte spearphishing‑mails naar leidinggevenden in diplomatieke diensten, vermomd als uitnodigingen voor Europese Commissievergaderingen en NAVO‑workshops. Die e-mails bevatten kwaadaardige .lnk‑shortcuts die via verborgen PowerShell‑opdrachten de PlugX remote access trojan laadden. De exploit baseerde zich op de bekende, maar onbeheerde kwetsbaarheid ZDI‑CAN‑25373; er is nog geen officiële patch van Microsoft voorhanden.

Technische keten: na uitvoering werd een versleuteld tar‑archief gede­crypt, met daarin een legitieme Canon‑utility met geldige digitale handtekening. Die tool werd misbruikt via DLL side‑loading om malafide code uit te voeren. PlugX werd RC4‑versleuteld in het geheugen geïmplementeerd binnen het Canon‑proces. Arctic Wolf rapporteert bovendien snelle ontwikkeling van de loader (CanonStager), die tussen september en oktober drastisch kleiner en eenvoudiger werd — een aanwijzing dat de groep actief reageert op detecties. PlugX zelf bevat sterke anti‑analyse technieken en communiceert met C2‑servers via HTTPS op poort 443 met variabele parameters om detectie te bemoeilijken.

Infrastructuur en gedrag: de aanvallers gebruikten meerdere domeinen (bijv. racineupci[.]org, dorareco[.]net), vaak met registraties via diverse providers en geldige Let’s Encrypt‑certificaten, en bootsen legitieme organisatiebenamingen na. De malware creëert verborgen mappen met misleidende namen zoals “SamsungDriver” of “IntelNet”, bereikt persistentie via de Windows Registry Run‑key en verzamelt uitgebreide telemetrie via tientallen sensoren voor victim fingerprinting. Thematisch waren lokmiddelen gericht op grenscontrole met de Westelijke Balkan, defensie‑aanbestedingen en diplomatieke coördinatie.

Aanbevolen mitigaties: omdat er geen patch is voor ZDI‑CAN‑25373, blijft het uitschakelen van de automatische verwerking van .lnk‑bestanden cruciaal. Organisaties moeten de geïdentificeerde C2‑domeinen blokkeren, endpoints scannen op ongebruikelijke Canon‑utilities (en bijbehorende DLL/DAT‑bestanden), en voorhoede threat hunting uitvoeren om ook oudere compromissen op te sporen. Verder is het belangrijk personeel te trainen in het herkennen van doordachte spearphishing‑lokmiddelen (human risk management).

Kader: PlugX is een veelgebruikt RAT‑gereedschap in gerichte aanvallen vanuit China. De snelle adoptie van een lang bekende kwetsbaarheid en de aanhoudende aanpassing van loaders en malware laten zien dat deze groep operationeel flexibel is en gericht blijft inzetten op diplomatieke en defensiegerelateerde spionage.