Исследовательская группа Arctic Wolf Labs зафиксировала целенаправленную кибершпионскую кампанию, направленную на дипломатические представительства в странах Евросоюза. Кампания проходила в сентябре и октябре 2025 года и, по оценке аналитиков, связана с кластером UNC6384 — структурой, предположительно аффилированной с китайской группировкой Mustang Panda (TEMP.Hex).
В опубликованном 30 октября отчёте говорится, что хакеры использовали изощрённую социальную инженерию, маскируя вредоносные письма под официальную переписку, связанную с дипломатическими мероприятиями. Основным техническим элементом атаки стала эксплуатация уязвимости ярлыков Windows под идентификатором ZDI-CAN-25373. Она была выявлена весной 2025 года и позволяет скрыто запускать команды при помощи специально оформленных LNK-файлов.
Механизм атаки начинался с фишингового письма, содержащего вредоносный ярлык LNK, замаскированный под приглашение или повестку встречи. Один из обнаруженных файлов носил имя «Agenda_Meeting 26 Sep Brussels.lnk» и содержал ссылку на вымышленное мероприятие Европейской комиссии, посвящённое перемещению товаров через границы ЕС и Западных Балкан.
После открытия файла на устройстве жертвы автоматически запускался PowerShell с зашифрованной командой, которая извлекала архив с вредоносной нагрузкой из временного каталога системы. В архиве находились три файла, каждый из которых был частью цепочки заражения.
Критическую роль в запуске вредоносного кода играла утилита Canon Printer Assistant, подписанная сертификатом от Canon Inc. Несмотря на то, что срок действия сертификата истёк ещё в 2018 году, Windows по-прежнему распознаёт его как допустимый. Эта легитимная программа использовалась для загрузки модифицированной DLL-библиотеки, запускающей исполняемый файл cnmplog.dat — контейнер с зашифрованной версией PlugX. Этот троян удалённого доступа позволяет выполнять команды, вести скрытую съёмку с клавиатуры, манипулировать файлами, устанавливать персистентные механизмы и проводить глубокую разведку системы. Его модульная архитектура позволяет операторам кастомизировать возможности под конкретные задачи.