Van de Chinese cyberdreiging UNC6384 was al bekend dat het zich richtte tot diplomaten in Zuidoost-Azië. Nu blijkt de groep ook geïnteresseerd in Europese landen. Twee maanden lang viel UNC6384 Nederlandse, Belgische, Italiaanse, Hongaarse en Servische doelwitten aan. Compromissen vonden plaats via een Windows-lek dat al geruime tijd bekend is.
De buitgemaakte kwetsbaarheid is ZDI-CAN-25373. We schreven er in maart al over, toen bleek dat Microsoft er niets aan ging doen. Een Trend Micro-onderzoeker stelde destijds dat een oplossing “ongelooflijk lastig” zou zijn. Het betreft het versturen van malafide .lnk-bestanden, shortcuts die commando’s bevatten om malware te downloaden. Opnieuw blijkt een cyberaanvaller van dit probleem gebruik te maken, te weten UNC6384.
De campagne van de Chinese aanvaller, ook bekend als “Mustang Panda”, begon met spearphishing-mails die leidinggevenden in diplomatieke diensten bereikten. Deze mails bevatten de kwaadaardige .lnk-bestanden, verpakt als uitnodigingen voor Europese Commissievergaderingen en NAVO-workshops. Via verborgen PowerShell-commando’s laadden ze de PlugX remote access trojan (RAT).
De aanvalsketen bevat meer lagen dan dat. Na uitvoering van het .lnk-bestand wordt een tar-archief gedecrypteerd met daarin een legitieme Canon-tool, inclusief geldige digitale handtekening. Deze wordt misbruikt via DLL side-loading om kwaadaardige code uit te voeren. Het RC4-versleutelde PlugX-bestand draait vervolgens in het geheugen binnen het vertrouwde Canon-proces.
Doelwitten en motieven
De campagne toont een tactische evolutie van UNC6384, merkt Arctic Wolf Labs op. Waar de groep eerder actief was in Zuidoost-Azië, richt ze zich nu op Europa. Hongarije en België zijn bevestigde doelwitten, maar ook Servië, Italië en Nederland kwamen in het vizier. De thema’s van de lokmiddelen zijn veelzeggend: grenscontrole tussen EU en Westelijke Balkan, defensie-aanbestedingen en diplomatieke coördinatie.
Google’s Threat Intelligence Group spoorde UNC6384/Mustang Panda deze zomer op. UNC6384 en Mustang Panda lijken dezelfde groep te zijn. Ze delen in ieder geval targeting-profielen, infrastructuur en het gebruik van PlugX-malware. De snelle adoptie van een recent ontdekte kwetsbaarheid toont hun vermogen om snel nieuwe exploits te integreren.
Malware-ontwikkeling in sneltreinvaart
Arctic Wolf Labs zag opmerkelijke veranderingen in de CanonStager-loader. Tussen september en oktober kromp deze van ongeveer 700KB naar slechts 4KB. De nieuwste versie elimineert complexiteit en gebruikt standaard C runtime libraries in plaats van de D-programmeertaal uit eerdere samples. Dit suggereert actieve ontwikkeling als reactie op detecties. Dit is gebruikelijk bij geavanceerde cyberaanvallers: ze weten dat ze hun aanvalsformule moeten aanpassen om verdedigers voor te zijn.
De PlugX-malware zelf bevat uitgebreide anti-analyse-maatregelen. Control-flow flattening, runtime string-decryptie en meerdere anti-debugging checks bemoeilijken reverse engineering. De malware communiceert met C2-infrastructuur via HTTPS op poort 443, waarbij parameters willekeurig worden gegenereerd om netwerkdetectie te frustreren.
Infrastructuur
De aanvallers gebruiken meerdere domeinen zoals racineupci[.]org en dorareco[.]net. Deze zijn geregistreerd via verschillende providers en geografische regio’s. Namen bootsen legitieme organisaties na en alle domeinen gebruiken geldige Let’s Encrypt-certificaten. PlugX maakt verborgen mappen aan met namen als “SamsungDriver” of “IntelNet” en zorgt voor persistentie via de Windows Registry Run-key.
De malware verzamelt uitgebreide telemetrie via 50 sensoren en stuurt deze naar command-and-control-servers. Initial check-in requests bevatten epoch timestamps en gecodeerde parameters, vermoedelijk voor victim fingerprinting. De configuratie toont mutexes, decoy PDF-namen en meerdere failover C2-opties.
Mitigatiemaatregelen
Omdat er geen officiële patch bestaat voor ZDI-CAN-25373, moeten organisaties de automatische resolutie van .lnk-bestanden uitschakelen. Dit was overigens al het advies toen de exploitatie in april bekend werd. Verder is het blokkeren van de geïdentificeerde C2-domeinen essentieel. Endpoints moeten worden gescand op Canon printer-utilities in ongebruikelijke locaties, vooral vergezeld van DLL- en DAT-bestanden.
Arctic Wolf benadrukt het belang van proactieve threat hunting. De uitgebreide operationele tijdlijn van statelijke campagnes vereist grondige controles op compromissen, ook in het verleden. Security awareness training (of tegenwoordig veelal human risk management) blijft cruciaal, met een focus op het herkennen van spearphishing-pogingen die doodgewoon ogende uitnodigingen voor vergaderingen als lokmiddel gebruiken.