Netcrook Logo
👤 CIPHERWARDEN
🗓️ 01 Nov 2025   🗂️ Threats    

Linee Rosse e Trappole nei Collegamenti: Hacker Legati alla Cina Violano la Diplomazia Europea

UNC6384 sfrutta una vulnerabilità nei collegamenti di Windows in una campagna di cyber-spionaggio che si diffonde tra le cerchie diplomatiche europee, sollevando allarmi sulle tensioni globali nel cyberspazio e sulla fiducia digitale.

In Breve

  • UNC6384, un gruppo di hacker affiliato alla Cina, ha preso di mira diplomatici e agenzie governative in Ungheria, Belgio, Italia, Paesi Bassi e Serbia.
  • Gli aggressori hanno utilizzato una vulnerabilità nei collegamenti di Windows (.lnk), CVE-2025-9491, per distribuire il malware PlugX tramite email di spear-phishing.
  • PlugX, un trojan di accesso remoto, consente alle spie informatiche di rubare file, registrare i tasti digitati e persistere inosservato nei sistemi.
  • Gruppi di minaccia cinesi simili hanno sfruttato altre vulnerabilità software, come CVE-2025-61932 in Lanscope Endpoint Manager, per scopi di spionaggio.
  • Gli esperti avvertono che questi attacchi potrebbero esporre discussioni diplomatiche sensibili, agende e credenziali alla sorveglianza straniera.

La Diplomazia nel Mirino

Immaginate una grande sala da ballo diplomatica - lucida, sicura, e piena di scopo. Ora immaginate una botola nascosta sotto il tappeto rosso, pronta a inghiottire ospiti ignari. Nell’autunno del 2025, è esattamente ciò che è accaduto nei corridoi digitali della diplomazia europea. Hacker legati alla Cina, identificati come UNC6384, hanno trovato la loro botola in una vulnerabilità non corretta nei collegamenti di Windows, superando le difese digitali con allarmante facilità.

L’Anatomia dell’Attacco

La campagna di UNC6384 è iniziata con l’inganno classico: email di spear-phishing che invitavano i destinatari a false riunioni della Commissione Europea o workshop della NATO. Questi messaggi contenevano link che, una volta cliccati, consegnavano file .lnk malevoli (collegamenti di Windows) camuffati con dettagli dall’aspetto ufficiale. I file sfruttavano una vulnerabilità di Windows (CVE-2025-9491), un bug che permette agli aggressori di eseguire comandi segreti sul computer della vittima.

Dietro le quinte, il collegamento lanciava un comando PowerShell, che installava silenziosamente il malware mentre mostrava un documento esca per distrarre il bersaglio. Il carico finale era PlugX, un noto strumento di accesso remoto amato dai gruppi di spionaggio cinesi da oltre un decennio. PlugX agisce come una chiave maestra - concedendo agli aggressori la possibilità di eseguire comandi, catturare digitazioni e sottrarre file, il tutto nascondendo le proprie tracce con tecniche anti-rilevamento.

PlugX: Il Coltellino Svizzero delle Spie

PlugX non è una novità. Dal suo debutto nel 2008, è stato lo strumento preferito delle spie informatiche cinesi, utilizzato in campagne dal Sud-Est asiatico all’Europa. Il suo design modulare consente agli aggressori di aggiornare o sostituire le funzionalità al volo. Nonostante gli sforzi globali per sradicare PlugX - including un giro di vite delle forze dell’ordine statunitensi all’inizio di quest’anno - continua a evolversi, diventando sempre più piccolo e furtivo ad ogni revisione.

Le tattiche di UNC6384 rispecchiano quelle di Mustang Panda e di altri gruppi cinesi: sfruttare vulnerabilità note, utilizzare file dall’aspetto legittimo per camuffarsi e sfruttare servizi cloud per esfiltrare i dati rubati. In parallelo, un altro gruppo legato alla Cina, Bronze Butler, è stato scoperto mentre sfruttava il software Lanscope per distribuire i propri strumenti di spionaggio, sottolineando una strategia più ampia di attacco sia alle reti pubbliche che private per ottenere informazioni strategiche.

Rischi Globali e Vigilanza Digitale

Le implicazioni sono preoccupanti. Attacchi riusciti potrebbero permettere agli avversari di monitorare discussioni politiche riservate, rubare credenziali o tracciare i movimenti diplomatici - compromettendo la sicurezza nazionale e la fiducia internazionale. Mentre l’Europa rafforza le sue difese digitali, gli esperti di cybersicurezza esortano governi e organizzazioni a correggere le vulnerabilità note, monitorare attività sospette e formare il personale a riconoscere le trappole dell’ingegneria sociale. Nel cyberspazio, come sul palcoscenico mondiale, la vigilanza è la nuova diplomazia.

La danza dello spionaggio si è spostata dalle stanze fumose sullo sfondo al regno invisibile di codice e collegamenti. La domanda per diplomatici - e difensori - resta: come si riconosce una botola quando è camuffata da zerbino di benvenuto?

WIKICROOK

  • Spear: Il spear phishing è un attacco informatico mirato che utilizza email personalizzate per indurre individui o organizzazioni specifiche a rivelare informazioni sensibili.
  • Remote Access Trojan (RAT): Un Remote Access Trojan (RAT) è un malware che consente agli aggressori di controllare segretamente il computer della vittima da qualsiasi luogo, permettendo furti e spionaggio.
  • DLL Side: DLL Side è una tecnica in cui gli aggressori ingannano i programmi facendogli caricare file DLL malevoli, aggirando la sicurezza e ottenendo accesso o controllo non autorizzato.
  • Persistence: La persistenza comprende tecniche utilizzate dal malware per sopravvivere ai riavvii e restare nascosto nei sistemi, spesso imitando processi o aggiornamenti legittimi.
  • Command: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a compiere azioni specifiche, talvolta per scopi malevoli.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news