出典: The Hacker News – https://thehackernews.com/2025/10/china-linked-hackers-exploit-windows.html
原題: China-Linked Hackers Exploit Windows Shortcut Flaw to Target European Diplomats
中国系ハッカーがWindowsショートカット脆弱性を悪用し欧州外交官を標的に
2025年9月から10月にかけて、中国に関連するハッキンググループ「UNC6384」がWindowsのショートカットファイル(LNK)の脆弱性を悪用し、ヨーロッパの外交官や政府機関を狙った高度なサイバー攻撃を実施しました。攻撃は巧妙なフィッシングメールを起点に、機密情報の窃取を目的とした多段階のマルウェア展開を特徴としています。
主要なポイント
- 脆弱性の悪用:Windowsショートカットファイルの未修正脆弱性(ZDI-CAN-25373、CVE-2025-9491)を利用し、悪意あるコードを被害者の端末で実行。
- 標的とされた組織:ハンガリー、ベルギー、イタリア、オランダの外交機関およびセルビアの政府機関が主な攻撃対象。
- 攻撃手法:標的型フィッシングメールに埋め込まれたURLから悪意あるLNKファイルを配布し、DLLサイドローディング技術でPlugXマルウェアを展開。
- マルウェアの特徴:PlugXはリモートアクセス型トロイの木馬(RAT)で、コマンド実行、キーロギング、ファイル操作など多彩な機能を持ち、解析回避技術も実装。
- 防御策と推奨:Microsoftのセキュリティアップデート適用、Microsoft DefenderやSmart App Controlの活用が有効。
技術的な詳細や背景情報
今回悪用された脆弱性「ZDI-CAN-25373」は、Windowsのショートカットファイル(LNK)が持つ設計上の欠陥で、ユーザーが悪意あるLNKファイルを開くと、PowerShellコマンドが起動し、TARアーカイブ内の悪質なDLLをサイドロード(正規プログラムに悪意あるDLLを読み込ませる技術)します。これにより、PlugXマルウェアがメモリ上に展開され、被害端末の制御を乗っ取ります。
PlugXは「Destroy RAT」「Kaba」「Korplug」など複数の別名を持ち、モジュラー構造で機能拡張が可能です。攻撃者はこのマルウェアを使い、キーロギングやファイルのアップロード・ダウンロード、システム偵察、永続化(再起動後も感染状態を維持)を実現しています。特に永続化はWindowsレジストリの改変によって行われ、検知を困難にしています。
また、攻撃は外交関連のイベントや会議をテーマにした標的型フィッシングメールから始まり、被害者に偽のPDFドキュメントを表示させるなど、巧妙な社会工学的手法も用いられています。さらに、最近ではHTMLアプリケーション(HTA)ファイルを使い、外部JavaScriptを読み込んで悪意あるペイロードを取得する手口も確認されています。
影響や重要性
この攻撃は欧州の外交機関や政府機関を標的としており、国家間の戦略的な情報収集や政策調整に関わる重要な機密情報が狙われています。中国のサイバー諜報活動の一環と見られ、欧州連合(EU)やNATOの防衛協力体制に対する脅威となっています。
また、脆弱性自体は2017年以降複数の脅威アクターに悪用されてきた歴史があり、今回の攻撃はその延長線上でより洗練された技術と戦術が投入されたものです。PlugXの進化や配布手法の高度化は、今後のサイバー攻撃のトレンドを示唆しています。
まとめ
中国系ハッカーグループ「UNC6384」によるWindowsショートカット脆弱性を悪用した欧州外交官狙いの攻撃は、高度な技術と巧妙な社会工学を組み合わせた典型的な国家支援型サイバー諜報活動です。被害を防ぐためには、Microsoftのセキュリティアップデートの迅速な適用や、Microsoft Defender、Smart App Controlなどのセキュリティ機能の活用が不可欠です。
また、外交関連のメールや添付ファイルに対しては慎重な取り扱いが求められ、組織全体でのセキュリティ意識向上と多層防御の強化が必要です。今後も同様の脅威が拡大する可能性が高いため、継続的な監視と対策が重要となります。
