Une cyber-organisation vraisemblablement chinoise exploite une faille de sécurité appelée ‘zero-day’ dans Windows en vue d’espionner les services diplomatiques, y compris dans notre pays.
Il s’agit d’une vulnérabilité non corrigée jusqu’à présent, encore appelée faille ‘zero-day’, référencée CVE-2025-9491 ou ZDI-CAN-25373 (selon l’organisation concernée). Elle est exploitée par un groupe lié à la Chine pour espionner des diplomates dans des pays comme la Belgique et la Hongrie notamment.
D’après la firme de sécurité Arctic Wolf Labs, qui a enquêté sur l’attaque, celle-ci débute par des courriels d’hameçonnage ciblés. Les agresseurs envoient des courriels concernant des sujets tels que des réunions de la Commission européenne, des ateliers de l’OTAN et des événements diplomatiques multilatéraux. Ces courriels contiennent une URL intégrée et exploitent un bug critique dans la manière dont Windows gère les fichiers .lnk.
Si le destinataire clique sur le lien, les agresseurs peuvent exploiter cette vulnérabilité dans Windows PowerShell pour exécuter des commandes et installer ainsi un logiciel malveillant. Le processus est long et complexe (et est détaillé dans cette analyse), mais il aboutit au déploiement d’un cheval de Troie PlugX contrôlé à distance, permettant aux agresseurs de surveiller les ordinateurs des diplomates.
Mustang Panda
Les chercheurs établissent un lien entre cette opération et UNC6384, un groupe probablement chinois également connu sous l’appellation Mustang Panda. Ce groupe est principalement actif dans le sud-est asiatique, où il mène depuis des années déjà des activités d’espionnage au service des intérêts géopolitiques chinois. La campagne actuelle a débuté en Belgique et en Hongrie et, selon les chercheurs, elle s’étend désormais à d’autres pays européens.
Microsoft n’a pas encore sorti de correctif pour ce problème et ne semble pas pressée de le faire. En mars dernier, la firme de sécurité Trend Micro avait déjà signalé que cette même vulnérabilité était exploitée par onze organisations étatiques et cyber-bandes pour lancer des campagnes et diffuser divers logiciels malveillants chez leurs victimes. Suite à cette annonce, Microsoft a déclaré au site technologique Bleeping Computer que la vulnérabilité n’était ‘pas suffisamment sérieuse’ pour justifier un correctif immédiat. En l’absence de solution, il est conseillé aux organisations de bloquer temporairement les fichiers .LNK.