Хакеры используют старую уязвимость в Windows с 2017 года для кибератак на инфраструктуру по всему миру

Киберпреступники активизировали атаки на государственные и корпоративные сети, используя сразу две опасные уязвимости в Windows. Об этом сообщает Ars Technica со ссылкой на данные компаний Trend Micro и Arctic Wolf. Одна из уязвимостей остаётся неисправленной с марта 2025 года, несмотря на её высокую активность и значительный риск, а эксплуатируется — ещё с 2017 года.

Это уязвимость CVE‑2025‑9491 (ранее ZDI‑CAN‑25373) — проблема в обработке ярлыков .lnk. Уязвимость позволяет злоумышленникам внедрять вредоносный код в ярлык и запускать его при открытии файла без ведома пользователя. По информации Trend Micro, в атаке задействованы как минимум 11 группировок, в том числе связанные с государственными структурами.

Несмотря на то, что CVE‑2025‑9491 отслеживается уже с марта текущего года, Microsoft до сих пор не выпустила патч. Уровень её опасности оценивается в 7 из 10 баллов по шкале CVSS. Злоумышленники используют уязвимость в составе сложных атак с применением трояна PlugX — вредоносного ПО, предоставляющего полный удалённый доступ к системе. Согласно отчёту Arctic Wolf, последняя вспышка активности связана с китайской группировкой UNC‑6384.

Параллельно фиксируется активное использование второй уязвимости — CVE‑2025‑59287. Она затрагивает службы обновления Windows Server (WSUS) и получила критическую оценку в 9,8 балла.

Эксперты отмечают, что актуальность обеих уязвимостей обусловлена не только техническими особенностями, но и устойчивостью к обнаружению. Особенно это касается CVE‑2025‑9491, где вредоносная активность может быть замаскирована под легитимное поведение системы.