出典: The Hacker News – https://thehackernews.com/2025/10/china-linked-hackers-exploit-windows.html
原題: China-Linked Hackers Exploit Windows Shortcut Flaw to Target European Diplomats
中国系ハッカーがWindowsショートカット脆弱性を悪用し欧州外交官を標的に
2025年9月から10月にかけて、中国系ハッカー集団「UNC6384」がWindowsのショートカットファイル(LNKファイル)の脆弱性を悪用し、ヨーロッパの外交および政府機関を狙ったサイバー攻撃を仕掛けていることが明らかになりました。本記事では、この攻撃の詳細とその影響について解説します。
主要なポイント
- 攻撃対象と手法:ハンガリー、ベルギー、イタリア、オランダの外交機関やセルビアの政府機関が標的。スピアフィッシングメールに埋め込まれた悪意あるLNKファイルを用い、Windowsの未修正脆弱性(ZDI-CAN-25373)を悪用。
- マルウェアの展開:DLLサイドローディング技術を使い、PlugXと呼ばれるリモートアクセス型トロイの木馬(RAT)を展開。PlugXは多機能で、キーロギングやファイル操作、永続化など幅広い攻撃機能を持つ。
- 脆弱性の背景:この脆弱性は2017年から複数の攻撃者に利用されており、2025年3月にセキュリティ研究者によって初めて公表。公式にはCVE-2025-9491として管理されている。
- 攻撃の進化:攻撃者はHTMLアプリケーション(HTA)ファイルを使い、外部JavaScriptを読み込んで悪意あるペイロードを取得する手法も採用。マルウェアのサイズ縮小や解析回避技術の導入により検知を困難にしている。
- 戦略的意図:攻撃はヨーロッパの防衛協力や多国間外交に関わる機関を狙っており、中国の戦略的インテリジェンス活動の一環と考えられている。
技術的な詳細と背景情報
今回の攻撃は、Windowsのショートカットファイル(LNKファイル)に存在する脆弱性(ZDI-CAN-25373、CVE-2025-9491)を悪用しています。この脆弱性は、LNKファイルがPowerShellコマンドを起動し、TARアーカイブの内容をデコード・展開する過程で、ユーザーに偽装したPDF文書を表示しつつ、悪意あるDLLをサイドロード(正規のプログラムに悪意あるDLLを読み込ませる手法)します。
このDLL「CanonStager」は、暗号化されたPlugXマルウェアのペイロード(”cnmplog.dat”)を起動し、感染したシステム上でリモートからの操作を可能にします。PlugXはモジュラー構造を持ち、コマンド実行、キーロギング、ファイル操作、永続化、システム偵察など多彩な機能を備えています。また、解析回避やデバッグ防止機能により検知が難しく、Windowsレジストリの改変で永続化を実現しています。
さらに、攻撃者はHTMLアプリケーション(HTA)ファイルを利用し、外部のJavaScriptをcloudfront[.]netのサブドメインから取得する手法も確認されており、攻撃の巧妙化が進んでいます。
影響や重要性
この攻撃は、欧州の外交官や政府機関を標的としており、国家間の外交や防衛政策に関わる重要な情報が狙われています。特にヨーロッパ同盟の結束や多国間政策調整の機密情報が漏洩すれば、国際的な安全保障に深刻な影響を及ぼす可能性があります。
また、PlugXマルウェアの高度な機能と攻撃手法の進化は、今後のサイバー攻撃のトレンドを示しており、防御側にとっては検知・対策の難易度が増していることを意味します。マイクロソフトはMicrosoft DefenderやSmart App Controlによる防御策を提供していますが、ユーザー側の注意も不可欠です。
まとめ
中国系ハッカー集団UNC6384によるWindowsショートカットファイルの脆弱性を悪用した攻撃は、欧州の外交・政府機関を狙った高度なサイバー諜報活動です。攻撃はスピアフィッシングメールを起点に、多段階のマルウェア展開を行い、PlugXという強力なリモートアクセスツールを用いています。
この事例は、古くから知られる脆弱性が依然として悪用され続けていること、そして攻撃者が技術を進化させていることを示しています。外交や政府機関をはじめとする重要インフラの関係者は、最新のセキュリティ対策と警戒を怠らないことが求められます。
