Çin’e bağlı bir tehdit aktörü olarak biliniyor. UNC6384 Eylül ve Ekim 2025 arasında Avrupa’daki diplomatik ve devlet kurumlarını hedef alan, yamalanmamış bir Windows kısayol güvenlik açığından yararlanan bir dizi yeni saldırıyla ilişkilendirildi.
Arctic Wolf Perşembe günü yayınlanan teknik raporunda, faaliyetin Macaristan, Belçika, İtalya ve Hollanda’daki diplomatik kuruluşların yanı sıra Sırbistan’daki devlet kurumlarını hedef aldığını söyledi.
Siber güvenlik şirketi, “Saldırı zinciri, Avrupa Komisyonu toplantıları, NATO ile ilgili çalıştaylar ve çok taraflı diplomatik koordinasyon etkinlikleri temalı kötü amaçlı LNK dosyalarının teslim edilmesine yol açan birkaç aşamadan ilki olan, gömülü bir URL içeren hedef odaklı kimlik avı e-postalarıyla başlıyor” dedi.
Dosyalar, DLL tarafından yükleme kullanılarak PlugX kötü amaçlı yazılımının dağıtımıyla sonuçlanan çok aşamalı bir saldırı zincirini tetiklemek için ZDI-CAN-25373’ten yararlanacak şekilde tasarlandı. PlugX, Destroy RAT, Kaba, Korplug, SOGU ve TIGERPLUG olarak da adlandırılan bir uzaktan erişim truva atıdır.
UNC6384, Google Tehdit İstihbarat Grubu (GTIG) tarafından yakın zamanda yapılan bir analizin konusuydu ve bu analiz onu Mustang Panda olarak bilinen bir bilgisayar korsanlığı grubuyla taktiksel ve araçsal örtüşmelere sahip bir küme olarak tanımladı. Tehdit aktörünün, PlugX’in bellekte yerleşik bir çeşidi olan SOGU.SEC’i teslim ettiği gözlemlendi.
En son saldırı dalgası, alıcıları, kurbanın makinesinde gizli kötü amaçlı komutları yürütmek için 2017 yılına kadar birçok tehdit aktörü tarafından kullanılan bir güvenlik açığı olan ZDI-CAN-25373’ten yararlanmak üzere tasarlanmış sahte bir eki açmaya ikna etmek için diplomatik tuzaklarla kimlik avı e-postaları kullanıyor. Resmi olarak CVE-2025-9491 olarak izlenmektedir (CVSS puanı: 7,0)
Hatanın varlığı ilk olarak güvenlik araştırmacıları Peter Girnus ve Aliakbar Zahravi tarafından Mart 2025’te rapor edildi. HarfangLab tarafından hazırlanan daha sonraki bir rapor, bu eksikliğin XDSpy olarak bilinen bir siber casusluk kümesi tarafından Mart 2025’te Doğu Avrupa devlet kurumlarını hedef alan saldırılarda XDigo adlı Go tabanlı bir kötü amaçlı yazılımı dağıtmak için suistimal edildiğini ortaya çıkardı.
O sırada Microsoft, The Hacker News’e, Microsoft Defender’ın bu tehdit etkinliğini tespit etmek ve engellemek için algılamalara sahip olduğunu ve Akıllı Uygulama Denetiminin, İnternet’teki kötü amaçlı dosyaları engelleyerek ekstra bir koruma katmanı sağladığını söyledi.
Özellikle LNK dosyası, bir TAR arşivinin içeriğini çözmek ve çıkarmak ve aynı anda kullanıcıya sahte bir PDF belgesi görüntülemek için bir PowerShell komutunu başlatmak üzere tasarlanmıştır. Arşiv üç dosya içeriyor: Yasal bir Canon yazıcı asistanı yardımcı programı, ikili dosya kullanılarak dışarıdan yüklenen CanonStager adlı kötü amaçlı bir DLL ve DLL tarafından başlatılan şifrelenmiş bir PlugX verisi (“cnmplog.dat”).
Arctic Wolf, “Kötü amaçlı yazılım, komut yürütme, tuş kaydetme, dosya yükleme ve indirme işlemleri, kalıcılık oluşturma ve kapsamlı sistem keşif işlevleri dahil olmak üzere kapsamlı uzaktan erişim yetenekleri sağlıyor.” dedi. “Modüler mimarisi, operatörlerin belirli operasyonel gereksinimlere göre uyarlanmış eklenti modülleri aracılığıyla işlevselliği genişletmesine olanak tanıyor.”
PlugX ayrıca, dahili bileşenlerini açma ve radarın altından geçme çabalarına direnmek için çeşitli analiz önleme teknikleri ve hata ayıklama önleme kontrolleri de uygular. Windows Kayıt Defteri değişikliği yoluyla kalıcılık sağlar.
Arctic Wolf, Eylül ayı başında ve Ekim 2025’te bulunan CanonStager eserlerinin boyutunun yaklaşık 700 KB’den 4 KB’ye istikrarlı bir düşüşe tanık olduğunu, bunun da aktif gelişmeyi ve çok fazla adli ayak izi bırakmadan hedeflerine ulaşma kapasitesine sahip minimal bir araca dönüştüğünü gösterdiğini söyledi.
Ayrıca, kötü amaçlı yazılım dağıtım mekanizmasının geliştirilmiş hali olarak algılanan bir şekilde, UNC6384’ün, Eylül ayı başlarında harici bir JavaScript yüklemek için bir HTML Uygulaması (HTA) dosyasından yararlandığı ve bunun da kötü amaçlı yükleri bir bulut cephesinden aldığı tespit edildi.[.]net alt alan adı.
Arctic Wolf sözlerini şöyle tamamladı: “Kampanyanın savunma işbirliği, sınır ötesi politika koordinasyonu ve çok taraflı diplomatik çerçevelerle ilgilenen Avrupalı diplomatik kuruluşlara odaklanması, Avrupa ittifak uyumu, savunma girişimleri ve politika koordinasyon mekanizmalarına ilişkin ÇHC’nin stratejik istihbarat gereksinimleriyle uyumludur.”