Selon Arctic Wolf Labs, une campagne active (septembre–octobre 2025) attribuée au groupe affilié chinois UNC6384 cible des entités diplomatiques européennes, notamment en Hongrie et en Belgique, en exploitant la vulnérabilité Windows LNK ZDI-CAN-25373 pour livrer le RAT PlugX.

🎯 Ciblage et leurres: La chaîne d’attaque démarre par des e‑mails de spearphishing contenant des URLs menant à des fichiers .LNK thématiques (réunions Commission européenne, ateliers liés à l’OTAN, sommets multilatéraux). Ces LNK exploitent ZDI-CAN-25373 via un remplissage d’espaces dans COMMAND_LINE_ARGUMENTS pour lancer PowerShell, extraire un tar (ex. rjnlzlkfe.ta), afficher un PDF leurre légitime et exécuter un utilitaire Canon signé.

🧰 Chaîne technique: Le binaire signé Canon (cnmpaui.exe) charge en DLL side-loading une cnmpaui.dll malveillante qui déchiffre en RC4 (clé 16 octets) le blob cnmplog.dat et injecte PlugX en mémoire dans le processus légitime, réduisant la détection. La persistance est établie via une clé Run (CanonPrinter) avec des répertoires masqués tournants (SamsungDriver, Intelnet, VirtualFile, etc.).

🔎 Analyse PlugX: PlugX (aussi SOGU.SEC) offre des capacités complètes de RAT (commande distante, exfiltration, keylogging) et emploie obfuscation, anti‑debug, hashing d’API, chargement réflexif, et communications HTTPS via WinHTTP avec un User-Agent fixe. Les configurations extraites montrent des C2 comme racineupci[.]org et dorareco[.]net, sur port 443, avec mutex dédiés et noms des PDF leurres.

🌐 Infrastructure et portée: L’infrastructure C2 comprend racineupci[.]org, dorareco[.]net, naturadeco[.]net, cseconline[.]org, vnptgroup[.]it.com, paquimetro[.]net, utilisant des certificats Let’s Encrypt et un hébergement distribué. Au-delà de la Hongrie et de la Belgique, des éléments indiquent des activités en Serbie, Italie et Pays‑Bas. Le chargeur « CanonStager » a évolué rapidement (≈700 KB → ≈4 KB) entre septembre et octobre 2025, signe d’un développement actif pour réduire l’empreinte et améliorer l’évasion.

IOCs clés:

  • Domaines C2: racineupci[.]org, dorareco[.]net, naturadeco[.]net, cseconline[.]org, vnptgroup[.]it.com, paquimetro[.]net
  • User-Agent: “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 10.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729)”
  • Mutex: uUbAmgDu, esUdgquBv
  • Clé RC4: eQkiwoiuDsvIPsmd
  • Registre (persistance): Software\Microsoft\Windows\CurrentVersion\Run\CanonPrinter
  • Chemins (exemples): C:\Users[Username]\AppData\Roaming\SamsungDriver\cnmpaui.exe ; …\AppData\Local\Temp\rjnlzlkfe.ta
  • Fichiers/Hash (extraits):
    • LNK (Agenda_Meeting 26 Sep Brussels.lnk): 911cccd238fbfdb4babafc8d2582e80dcfa76469fa1ee27bbc5f4324d5fca539
    • cnmpaui.exe (Canon signé): 4ed76fa68ef9e1a7705a849d47b3d9dcdf969e332bd5bcb68138579c288a16d3
    • cnmpaui.dll (loader): e53bc08e60af1a1672a18b242f714486ead62164dda66f32c64ddc11ffe3f0df
    • cnmplog.dat (blob chiffré): c9128d72de407eede1dd741772b5edfd437e006a161eecfffdf27b2483b33fc7
    • PlugX (décrypté): 3fe6443d464f170f13d7f484f37ca4bcae120d1007d13ed491f15427d9a7121f
  • Leurs PDF: Agenda_Meeting 26 Sep Brussels_…pdf ; EPC invitation letter Copenhagen 1-2 October 2025.pdf ; NAJU Plan Obuka OKTOBAR 2025.pdf

TTPs (MITRE ATT&CK, sélection):

  • T1566.001 Spearphishing (pièces jointes/URLs LNK thématiques)
  • T1204.002 Exécution par l’utilisateur (ouverture LNK)
  • T1059.001 PowerShell (extraction TAR, staging)
  • T1574.002 DLL side‑loading (binaire Canon signé)
  • T1055 Injection/chargement en mémoire; T1140 Déchiffrement à l’exécution (RC4)
  • T1027 Obfuscation et payload chiffré; contrôle de flux aplati
  • T1547.001 Persistance via Run key
  • T1071.001 C2 HTTPS (WinHTTP), T1001.003 Déguisement de protocole (User-Agent)
  • T1036.005 Mascarade (noms/chemins légitimes), T1497.001 Anti‑analyse

Conclusion: Il s’agit d’une analyse de menace détaillée documentant une campagne d’espionnage, ses techniques, son infrastructure et ses indicateurs afin d’éclairer la détection et l’attribution.

🧠 TTPs et IOCs détectés

TTP

[‘T1566.001 Spearphishing (pièces jointes/URLs LNK thématiques)’, ‘T1204.002 Exécution par l’utilisateur (ouverture LNK)’, ‘T1059.001 PowerShell (extraction TAR, staging)’, ‘T1574.002 DLL side‑loading (binaire Canon signé)’, ‘T1055 Injection/chargement en mémoire’, ‘T1140 Déchiffrement à l’exécution (RC4)’, ‘T1027 Obfuscation et payload chiffré; contrôle de flux aplati’, ‘T1547.001 Persistance via Run key’, ‘T1071.001 C2 HTTPS (WinHTTP)’, ‘T1001.003 Déguisement de protocole (User-Agent)’, ‘T1036.005 Mascarade (noms/chemins légitimes)’, ‘T1497.001 Anti‑analyse’]

IOC

{‘domains’: [‘racineupci.org’, ‘dorareco.net’, ’naturadeco.net’, ‘cseconline.org’, ‘vnptgroup.it.com’, ‘paquimetro.net’], ‘user_agent’: ‘Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 10.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729)’, ‘mutex’: [‘uUbAmgDu’, ’esUdgquBv’], ‘rc4_key’: ’eQkiwoiuDsvIPsmd’, ‘registry’: ‘Software\Microsoft\Windows\CurrentVersion\Run\CanonPrinter’, ‘paths’: [‘C:\Users\[Username]\AppData\Roaming\SamsungDriver\cnmpaui.exe’, ‘…\AppData\Local\Temp\rjnlzlkfe.ta’], ‘hashes’: {‘LNK’: ‘911cccd238fbfdb4babafc8d2582e80dcfa76469fa1ee27bbc5f4324d5fca539’, ‘cnmpaui.exe’: ‘4ed76fa68ef9e1a7705a849d47b3d9dcdf969e332bd5bcb68138579c288a16d3’, ‘cnmpaui.dll’: ’e53bc08e60af1a1672a18b242f714486ead62164dda66f32c64ddc11ffe3f0df’, ‘cnmplog.dat’: ‘c9128d72de407eede1dd741772b5edfd437e006a161eecfffdf27b2483b33fc7’, ‘PlugX’: ‘3fe6443d464f170f13d7f484f37ca4bcae120d1007d13ed491f15427d9a7121f’}, ‘pdf_files’: [‘Agenda_Meeting 26 Sep Brussels_…pdf’, ‘EPC invitation letter Copenhagen 1-2 October 2025.pdf’, ‘NAJU Plan Obuka OKTOBAR 2025.pdf’]}

🔗 Source originale : https://arcticwolf.com/resources/blog/unc6384-weaponizes-zdi-can-25373-vulnerability-to-deploy-plugx/