UNC6384 exploite la faille LNK ZDI-CAN-25373 pour déployer PlugX contre des cibles diplomatiques européennes

Selon Arctic Wolf Labs, une campagne active (septembre–octobre 2025) attribuée au groupe affilié chinois UNC6384 cible des entités diplomatiques européennes, notamment en Hongrie et en Belgique, en exploitant la vulnérabilité Windows LNK ZDI-CAN-25373 pour livrer le RAT PlugX. 🎯 Ciblage et leurres: La chaîne d’attaque démarre par des e‑mails de spearphishing contenant des URLs menant à des fichiers .LNK thématiques (réunions Commission européenne, ateliers liés à l’OTAN, sommets multilatéraux). Ces LNK exploitent ZDI-CAN-25373 via un remplissage d’espaces dans COMMAND_LINE_ARGUMENTS pour lancer PowerShell, extraire un tar (ex. rjnlzlkfe.ta), afficher un PDF leurre légitime et exécuter un utilitaire Canon signé.