Un grupo de piratas informáticos vinculado a China está explotando una vulnerabilidad de día cero en Windows en una campaña de ciberespionaje avanzada dirigida contra diplomáticos europeos en Hungría, Bélgica y otros países de la Unión Europea.
De acuerdo con un informe publicado por Arctic Wolf Labs, los ataques comienzan mediante correos electrónicos de spearphishing cuidadosamente elaborados, que distribuyen archivos LNK maliciosos con temas relacionados con la OTAN, la Comisión Europea y diversos eventos diplomáticos internacionales.
Estos archivos aprovechan una vulnerabilidad crítica en Windows, CVE-2025-9491, para desplegar el troyano de acceso remoto PlugX (RAT), un malware asociado históricamente con grupos de ciberespionaje patrocinados por el Estado chino, entre ellos Mustang Panda (UNC6384).
Mustang Panda: el actor chino detrás del nuevo ataque diplomático
El grupo UNC6384, también conocido como Mustang Panda, es un actor de amenazas alineado con los intereses estratégicos del gobierno chino, con un historial de operaciones dirigidas a embajadas, ministerios y organismos de seguridad en Europa y el sudeste asiático.
Los investigadores de Arctic Wolf Labs y StrikeReady atribuyen esta nueva campaña con “alta confianza” a Mustang Panda, basándose en coincidencias técnicas con operaciones anteriores del grupo, como:
-
Uso del malware PlugX con el mismo esquema de persistencia y cifrado.
-
Coincidencias en infraestructura C2 (comando y control).
-
Superposición de tácticas, técnicas y procedimientos (TTPs) ya documentados en campañas anteriores.
-
Alineación geopolítica de los objetivos diplomáticos con intereses chinos.
“Esta campaña representa una continuación de las operaciones de ciberespionaje chinas enfocadas en objetivos gubernamentales europeos”, explicó Arctic Wolf. “La combinación de ingeniería social, explotación de día cero y malware modular demuestra un nivel de sofisticación significativo”.
Una vulnerabilidad crítica: CVE-2025-9491 en archivos LNK de Windows
El día cero CVE-2025-9491 afecta al sistema de manejo de archivos .LNK (accesos directos) de Windows. La falla permite a los atacantes ejecutar código arbitrario de forma remota, aunque requiere interacción del usuario, como abrir o visualizar un archivo malicioso.
El exploit manipula la forma en que Windows interpreta los argumentos de línea de comandos dentro de los accesos directos, ocultando instrucciones maliciosas bajo espacios en blanco y caracteres invisibles. Al abrir el archivo, el sistema ejecuta los comandos sin que el usuario note actividad sospechosa.
Esto convierte a CVE-2025-9491 en una puerta de entrada eficaz para entregar cargas útiles como PlugX, establecer persistencia y exfiltrar datos desde sistemas diplomáticos comprometidos.
Expansión de los ataques en Europa
Si bien los primeros ataques se concentraron en Hungría y Bélgica, los investigadores reportan una expansión de la campaña hacia otros países europeos, incluyendo:
-
Italia
-
Países Bajos
-
Serbia
-
Otras misiones diplomáticas del bloque europeo
El malware PlugX, característico de Mustang Panda, permite el control remoto total del sistema infectado, la filtración de documentos, la monitorización de correos diplomáticos y la instalación de módulos adicionales sin detección inmediata.
La infraestructura de comando y control (C2) analizada muestra actividad continua, lo que sugiere que el grupo mantiene una presencia persistente en las redes comprometidas desde hace semanas.
Una vulnerabilidad muy explotada por múltiples actores
El caso de CVE-2025-9491 no se limita a Mustang Panda. Según Trend Micro, la vulnerabilidad ha sido ampliamente explotada desde marzo de 2025 por al menos 11 grupos patrocinados por Estados y redes cibercriminales, entre ellos:
-
APT37 (vinculado a Corea del Norte)
-
APT43 (Kimsuky)
-
SideWinder
-
Evil Corp
-
RedHotel
-
Konni Group
-
Bitter APT
Las campañas asociadas distribuyen malware como Ursnif, Gh0st RAT y Trickbot, aprovechando plataformas Malware-as-a-Service (MaaS) que permiten automatizar ataques y ampliar su alcance global.
Microsoft aún no lanza un parche oficial
Pese a la severidad del fallo, Microsoft aún no ha emitido un parche oficial para CVE-2025-9491, aunque reconoció que está “considerando abordarlo” pese a que “no cumple con los criterios para un servicio inmediato”.
Mientras tanto, la compañía recomienda restringir el uso de archivos .LNK y bloquear las conexiones hacia la infraestructura de comando y control identificada por Arctic Wolf Labs.
Sin embargo, la ausencia de una corrección definitiva mantiene a miles de sistemas vulnerables a la explotación, especialmente en entornos gubernamentales y diplomáticos donde los atacantes buscan acceso a información estratégica.
Recomendaciones para mitigar los ataques
Ante la falta de un parche oficial, los expertos en ciberseguridad recomiendan una serie de medidas de mitigación para proteger las redes contra CVE-2025-9491, entre ellas:
-
Bloquear o restringir los archivos .LNK externos provenientes de correos no verificados.
-
Deshabilitar vistas previas automáticas en el Explorador de Windows.
-
Monitorear el tráfico de red saliente hacia dominios y direcciones IP asociadas con la infraestructura C2.
-
Implementar segmentación de red y listas blancas de aplicaciones.
-
Capacitar al personal diplomático y administrativo en detección de correos de spearphishing.
Estas medidas reducen significativamente el riesgo de explotación exitosa mientras Microsoft desarrolla un parche oficial.
Ciberespionaje a escala diplomática
La explotación de CVE-2025-9491 por parte de Mustang Panda (UNC6384) evidencia una estrategia continua de ciberespionaje chino enfocada en obtener inteligencia geopolítica sensible dentro de instituciones europeas.
Este ataque demuestra cómo los grupos estatales utilizan vulnerabilidades de día cero, malware personalizado y campañas de ingeniería social para infiltrarse en redes críticas.
Hasta que exista una actualización oficial de Windows, los equipos de seguridad deben adoptar medidas defensivas proactivas, fortalecer la educación de usuarios y reforzar la monitorización de actividad anómala en sus entornos.
La campaña, aún activa, confirma que el espionaje cibernético patrocinado por Estados continúa siendo una de las principales amenazas para la diplomacia internacional en 2025.
Fuente: Bleeping Computer
