Due vulnerabilità di Windows – una zero-day nota agli aggressori dal 2017 e l’altra un difetto critico che Microsoft inizialmente ha provato e recentemente non è riuscita a correggere – sono sfruttate attivamente in un massiccio attacco che prende di mira un’ampia fascia di Internet, dicono i ricercatori.
Zero non è stato rilevato fino al primo giorno marzoMentre la società di sicurezza Trend Micro ha affermato di essere stata sfruttata attivamente dal 2017 da ben 11 diverse minacce avanzate persistenti (APT). Questi gruppi APT, spesso legati a stati-nazione, attaccano incessantemente individui o gruppi di interesse specifici. Trend Micro ha affermato che i gruppi stanno sfruttando la vulnerabilità, poi tracciata come ZDI-CAN-25373, per installare vari payload post-exploit noti su infrastrutture situate in circa 60 paesi, tra cui Stati Uniti, Canada, Russia e Corea i più comuni.
Un’operazione integrata e su larga scala
Sette mesi dopo, Microsoft non ha ancora risolto la vulnerabilità, originata da un bug Collegamento di Windows Formato binario. I componenti di Windows semplificano e velocizzano l’apertura delle app o l’accesso ai file consentendo il richiamo di un singolo file binario senza dover raggiungere la relativa posizione. Negli ultimi mesi, la designazione di tracciamento ZDI-CAN-25373 è stata modificata in CVE-2025-9491.
Giovedì, la società di sicurezza Arctic Wolf ha riferito di aver osservato un gruppo di minacce legato alla Cina, tracciato come UNC-6384, che sfruttava CVE-2025-9491 in attacchi contro varie nazioni europee. Il payload finale è un Trojan di accesso remoto ampiamente utilizzato noto come PlugX. Per nascondere meglio il malware, l’exploit crittografa il file binario in formato RC4 fino alla fase finale dell’attacco.
“L’ampiezza degli obiettivi in più paesi europei in un arco di tempo concentrato suggerisce un’operazione di raccolta di informazioni coordinata su larga scala o il dispiegamento di più squadre operative parallele con strumenti condivisi ma obiettivi indipendenti”, ha affermato Arctic Wolf. “La coerenza di Tradecraft tra obiettivi disparati impone lo sviluppo centralizzato delle apparecchiature e gli standard di sicurezza operativa anche se l’esecuzione è distribuita tra più team.”
