Attacken auf EU: Ungepatchte Windows-Lücke wird seit Jahren ausgenutzt
Chinesische Hacker nutzen offenbar eine Zero-Day-Lücke im Betriebssystem Windows aus, um europäische Diplomaten zu attackieren. Laut einem Bericht von Arctic Wolf(öffnet im neuen Fenster) hat eine als UNC6384 bezeichnete Hackergruppe die Schwachstelle zuletzt für Angriffe auf mehrere EU-Länder missbraucht. Die Sicherheitslücke ist zwar schon länger bekannt, gepatcht hat Microsoft sie aber bisher nicht.
Die besagte Sicherheitslücke ist als CVE-2025-9491(öffnet im neuen Fenster) registriert und wurde schon im März 2025 von der Zero Day Initiative (ZDI) von Trend Micro offengelegt(öffnet im neuen Fenster) . Die Ursache des Fehlers liegt in der Verarbeitung von LNK-Dateien durch Windows. Angreifer können darin in für den attackierten Nutzer unerkennbarer Weise Schadcode platzieren.
Die Folge ist eine mögliche Schadcodeausführung im Kontext des angemeldeten Benutzers. Damit das gelingt, muss die Zielperson aber dazu gebracht werden, die bösartige Datei zu öffnen. Für Microsoft ist diese Hürde offenbar groß genug, um sich der Lücke nicht anzunehmen. Trotz seit September 2024 mehrfach eingereichter Hinweise durch die ZDI lehnte der Konzern es ab, CVE-2025-9491 zu patchen.
Angriffe laufen seit 2017
Wie die ZDI damals in einem separaten Blogbeitrag(öffnet im neuen Fenster) erklärte, wird CVE-2025-9491 schon mindestens seit 2017 von mehreren Hackergruppen unter anderem aus Nordkorea, Russland, China und dem Iran ausgenutzt. Die Forscher erklärten damals, sie hätten rund 1.000 LNK-Dateien in Verbindung mit diesen Angriffen entdeckt. Die Anzahl tatsächlicher Attacken liege aber wahrscheinlich weitaus höher, hieß es.
Dass das Interesse an der Lücke unter Angreifern nach wie vor präsent ist, zeigt der neue Bericht der Arctic-Wolf-Forscher, die in den beiden Monaten September und Oktober 2025 nach eigenen Angaben entsprechende Angriffe auf diplomatische Einrichtungen in Ungarn, Belgien und anderen europäischen Ländern beobachtet haben.
Laut Arctic Wolf stehen die Beobachtungen mit einer Spearphishing-Kampagne in Verbindung. Die Angreifer versuchen dabei, ihre Opfer durch Phishing-Mails zum Klick auf eine speziell gestaltete LNK-Datei zu verleiten. Dies führt schließlich zur Ausführung verschleierter Powershell-Befehle und setzt eine Malware-Infektionskette in Gang. Ziel ist es, per DLL-Sideloading den Remote Access Trojaner (RAT) PlugX zu installieren.
Admins sollten handeln
Die Forscher nehmen an, dass hinter den jüngsten Angriffen eine Hackergruppe namens UNC6384 steckt, die Verbindungen zu dem bekannten chinesischen Bedrohungsakteur Mustang Panda haben soll. Festgestellt hat Arctic Wolf dies auf Basis von Übereinstimmungen bei den verwendeten Tools, Angriffstaktiken, genutzter Infrastruktur sowie den anvisierten Zielen.
Da es bisher keinen Patch gibt, der vor einer Ausnutzung von CVE-2025-9491 schützt, wird Administratoren empfohlen, selbst geeignete Schutzmaßnahmen zu ergreifen. Das bedeutet, dass LNK-Dateien aus unbekannten Quellen nach Möglichkeit blockiert werden sollten. Zudem empfehlen die Forscher, Verbindungen zur Serverinfrastruktur der Angreifer zu blockieren. Dafür nützliche IoCs (Indicators of Compromise) sind im Bericht von Arctic Wolf(öffnet im neuen Fenster) zu finden.