ಚೈನಾ ಹ್ಯಾಕರ್‌ಗಳ ದಾಳಿ: ಯುರೋಪ್ ದೂತರು(Diplomats) ಮತ್ತು ಸರ್ಕಾರಿ ಸಂಸ್ಥೆಗಳ ಮೇಲೆ Windows Zero-Day ದೋಷದಿಂದ ಗುಪ್ತ ನಿಗಾ!

By Balu Published on

Document Index Blocks

[Contextual In-Article Optimization Ad Slot - 336x280 Rectangular Engine]

ಚೈನಾ-ಸಂಬಂಧಿತ ಸೈಬರ್ ಎಸ್ಪಿಯೋನೇಜ್ ಗುಂಪೊಂದು ವಿಂಡೋಸ್ ಶಾರ್ಟ್‌ಕಟ್ ಫೈಲ್‌ಗಳಲ್ಲಿ ಇರುವ ಗಂಭೀರ ದೋಷವನ್ನು ಬಳಸಿಕೊಂಡು ಯುರೋಪ್‌ನ ದೂತಿ ಸಂಸ್ಥೆಗಳ ಮೇಲೆ ಗುಪ್ತ ನಿಗಾ ನಡೆಸುತ್ತಿದೆ ಎಂದು ತಿಳಿದುಬಂದಿದೆ.

ಸೈಬರ್ ಸುರಕ್ಷತಾ ಸಂಸ್ಥೆ Arctic Wolf Labs ಪ್ರಕಾರ, UNC6384 ಎಂಬ ಹ್ಯಾಕರ್ ಗುಂಪು CVE-2025-9491 ಎಂಬ Zero-Day ದೋಷವನ್ನು ಉಪಯೋಗಿಸಿ PlugX ಎಂಬ ರಿಮೋಟ್ ಆಕ್ಸೆಸ್ ಟ್ರೋಜನ್ (RAT) ಮಾಲ್ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸುತ್ತಿದೆ. ಈ ದಾಳಿಗಳು ಸೆಪ್ಟೆಂಬರ್ ಮತ್ತು ಅಕ್ಟೋಬರ್ 2025ರಲ್ಲಿ ನಡೆದಿದ್ದು, ಹ್ಯಂಗೇರಿ, ಬೆಲ್ಜಿಯಂ, ಸೆರ್ಬಿಯಾ, ಇಟಲಿ ಮತ್ತು ನೆದರ್‌ಲ್ಯಾಂಡ್‌ಗಳ ದೂತಿ ಸಂಸ್ಥೆಗಳನ್ನು ಗುರಿಯಾಗಿಸಿವೆ.

ಚಿತ್ರ: ಸ್ಪೀಯರ್-ಫಿಶಿಂಗ್ ಇಮೇಲ್ ಮತ್ತು LNK ಫೈಲ್ ದಾಳಿ

ದಾಳಿಯ ವಿಧಾನ: ಸ್ಪೀಯರ್-ಫಿಶಿಂಗ್ ಮತ್ತು LNK ಫೈಲ್‌ಗಳು

ಹ್ಯಾಕರ್‌ಗಳು ಸ್ಪೀಯರ್-ಫಿಶಿಂಗ್ ಇಮೇಲ್‌ಗಳನ್ನು ಕಳುಹಿಸುತ್ತಾರೆ. ಇವುಗಳಲ್ಲಿ ".lnk" ಶಾರ್ಟ್‌ಕಟ್ ಫೈಲ್‌ಗಳು ಇರುತ್ತವೆ – ಇದು ಪಿಡಿಎಫ್ ಡಾಕ್ಯುಮೆಂಟ್ನಂತೆ ಕಾಣುತ್ತದೆ.

ಉದಾಹರಣೆ ಫೈಲ್ ಹೆಸರುಗಳು:
- Agenda_Meeting 26 Sep Brussels.lnk
- NATO Defense Program Update.lnk
- EU-China Trade Cooperation Draft.lnk

ಬಳಕೆದಾರರು ಫೈಲ್ ತೆರೆದಾಗ:

CVE-2025-9491 ದೋಷ ಸಕ್ರಿಯಗೊಳ್ಳುತ್ತದೆ.
DLL ಸೈಡ್-ಲೋಡಿಂಗ್ ಮೂಲಕ CanonStager ಎಂಬ ಲೋಡರ್ ಚಲಿಸುತ್ತದೆ.
PlugX RAT ಸ್ಥಾಪನೆ → ಸಂಪೂರ್ಣ ಸಿಸ್ಟಮ್ ನಿಯಂತ್ರಣ!

PlugX ಎಂಬುದು ಚೈನಾ-ಸಂಬಂಧಿತ APT ಗುಂಪುಗಳು 2012ರಿಂದ ಬಳಸುತ್ತಿರುವ ದೀರ್ಘಕಾಲಿಕ ಬ್ಯಾಕ್‌ಡೋರ್ ಮಾಲ್ವೇರ್. ಇದು ಫೈಲ್ ಚೋರಿ, ಕೀಸ್ಟ್ರೋಕ್ ಲಾಗಿಂಗ್, ಮತ್ತು ರಿಮೋಟ್ ಕಮಾಂಡ್ ಎಕ್ಸಿಕ್ಯೂಷನ್ ಮಾಡುತ್ತದೆ.

UNC6384: ಚೈನಾದ 'Mustang Panda' ಗುಂಪಿನೊಂದಿಗೆ ಸಂಬಂಧ?

Google Threat Intelligence Group (GTIG) ಪ್ರಕಾರ:

UNC6384 ಗುಂಪು Mustang Panda (Twill Typhoon / TEMP.Hex) ಎಂಬ ಚೈನಾ-ಬ್ಯಾಕ್ಡ್ APT ಗುಂಪಿನೊಂದಿಗೆ ಸಾಮ್ಯತೆಗಳನ್ನು ಹೊಂದಿದೆ.
ಇದು 2017ರಿಂದ PlugX ಬಳಸುತ್ತಿದ್ದು, ದಕ್ಷಿಣ ಏಷ್ಯಾ ದೂತರ ಮೇಲೆ ದಾಳಿ ಮಾಡಿದ್ದು.
ಈಗ ಯುರೋಪ್‌ಗೆ ವಿಸ್ತರಣೆ – ಚೈನಾದ ರಾಜಕೀಯ-ರಕ್ಷಣಾ ಆಸಕ್ತಿಗಳು ಇದರ ಹಿಂದೆ ಇರಬಹುದು.

ದೋಷದ ವಿವರ (CVE-2025-9491)

ವಿವರ	ಮಾಹಿತಿ
ದೋಷದ ಹೆಸರು	Windows Shortcut File Handling Vulnerability
CVE ID	CVE-2025-9491 (ZDI-CAN-25373)
CVSS ಸ್ಕೋರ್	7.0 (ಹೈ)
ಆವಿಷ್ಕಾರ	Trend Micro (ಮಾರ್ಚ್ 2025)
ಪ್ಯಾಚ್ ಸ್ಥಿತಿ	ಇನ್ನೂ ಬಿಡುಗಡೆಯಾಗಿಲ್ಲ (Zero-Day)
ಬಳಕೆದಾರರಲ್ಲಿ	11 APT ಗುಂಪುಗಳು (ಚೈನಾ, ಉತ್ತರ ಕೊರಿಯಾ, ಇರಾನ್, ರಷ್ಯಾ)

ಮೈಕ್ರೋಸಾಫ್ಟ್ ಇದನ್ನು "ಪ್ಯಾಚ್ ಮಾಡಲಾಗದ" ಎಂದು ಪರಿಗಣಿಸಿದ್ದು, ಸಿಸ್ಟಮ್-ಲೆವೆಲ್ ರೀಡಿಸೈನ್ ಅಗತ್ಯ ಎಂದು ಹೇಳಿದೆ.

ದಾಳಿಯ ಪರಿಣಾಮಗಳು

ಗುರಿಗಳು: EU ಕಮಿಷನ್ ಸಭೆಗಳು, NATO ರಕ್ಷಣಾ ಕಾರ್ಯಕ್ರಮಗಳು, ಬಾಲ್ಕನ್ ದೇಶಗಳೊಂದಿಗಿನ ವ್ಯಾಪಾರ.
ಚೋರಿಯಾದ ಮಾಹಿತಿ: ರಹಸ್ಯ ದಾಖಲೆಗಳು, ಇಮೇಲ್‌ಗಳು, ರಾಜಕೀಯ ಸಂನಿವೇಶಗಳು.
ದೀರ್ಘಕಾಲಿಕ ಅಪಾಯ: PlugX ಮೂಲಕ ಸ್ಥಿರ ಬ್ಯಾಕ್‌ಡೋರ್ – ಮುಂದಿನ ದಾಳಿಗಳಿಗೆ ದಾರಿ.
ರಕ್ಷಣೆಗೆ ಸಲಹೆಗಳು (Arctic Wolf)
LNK ಫೈಲ್‌ಗಳನ್ನು ಬ್ಲಾಕ್ ಮಾಡಿ (ಗ್ರೂಪ್ ಪಾಲಿಸಿ ಮೂಲಕ).
ಅನಧಿಕೃತ DLL ಲೋಡಿಂಗ್ ತಡೆಯಿರಿ (AppLocker / WDAC).
ಫಿಶಿಂಗ್ ಟ್ರೇನಿಂಗ್ ನೀಡಿ – ದೂತಿ ಸಿಬ್ಬಂದಿಗೆ.
ಎಂಡ್‌ಪಾಯಿಂಟ್ ಡಿಟೆಕ್ಷನ್ (EDR) ಬಳಸಿ – PlugX ಸೈನ್‌ಗಳನ್ನು ಹುಡುಕಿ.
IoCಗಳನ್ನು ಮಾನಿಟರ್ ಮಾಡಿ:
C2 ಡೊಮೇನ್‌ಗಳು: update.cloudfront[.]net ಸಬ್‌ಡೊಮೇನ್‌ಗಳು
ಫೈಲ್ ಹ್ಯಾಶ್‌ಗಳು (ವರದಿಯಲ್ಲಿ ಲಭ್ಯ)

ತಜ್ಞರ ಮಾತು

“UNC6384 ಗುಂಪು Zero-Day ದೋಷವನ್ನು ತ್ವರಿತವಾಗಿ ಬಳಸಿಕೊಂಡಿದೆ – ಇದು ಚೈನಾದ ಸೈಬರ್ ಸಾಮರ್ಥ್ಯದ ಉದಾಹರಣೆ. ದೂತಿ ಸಂಸ್ಥೆಗಳು ತಕ್ಷಣ ಕ್ರಮ ಕೈಗೊಳ್ಳಬೇಕು,” ಎಂದು Arctic Wolf Labs ತಿಳಿಸಿದೆ.

ಮೂಲ ಮತ್ತು ಲಿಂಕ್‌ಗಳು

ಪ್ರಕಟಣೆ: The Hacker News, ಅಕ್ಟೋಬರ್ 31, 2025
ಮೂಲ ಲಿಂಕ್: China-Linked Hackers Exploit Windows Shortcut Flaw to Target European Diplomats
Arctic Wolf ವರದಿ: UNC6384 Exploits Windows Vulnerability to Target European Diplomatic Entities
CVE ವಿವರ: ZDI-CAN-25373

🗂 Previous Phase Context Node Evaluating Legacy Compilation Vectors and Hardware Overheads

Next Evolution Layer 🗂 Hyper-scaling Multi-tenant Isolation Kernels inside Enterprise Infrastructures