Een nieuwe cyberoperatie zet diplomatieke diensten en personen in Europa onder druk. Microsoft biedt nog geen oplossing aan.
Een Chinese hackgroep gebruikt een ongepatchte Windows-kwetsbaarheid om toegang te krijgen tot gevoelige communicatie van Europese diplomaten in België, Hongarije en andere landen.
Spearphishing als ingangspoort
De campagne begon met het uitsturen van e-mails rond NAVO-workshops en EU-bijeenkomsten. De bijlages van die e-mails lijken onschuldig, maar misbruiken CVE-2025-9491: een kwetsbaarheid in de manier waarop Windows die snelkoppelingen verwerkt. Eén klik volstaat om de PlugX-trojan te installeren, waarmee aanvallers maandenlang meekijken in diplomatieke netwerken.
Onderzoekers linken de operatie aan UNC6384, ook gekend als hackerscollectief Mustang Panda. Deze groep voert al jaren spionage uit voor Chinese geopolitieke belangen. De campagne begon in Hongarije en België, maar nu duiken er ook besmettingen door andere criminele cyberbendes op bij organisaties in Italië, Nederland en Servië.
Nog geen oplossing
Microsoft heeft nog geen oplossing uitgebracht, hoewel de kwetsbaarheid duidelijk actief wordt uitgebuit. Het bedrijf erkent de fout aan BleepingComputer, maar noemt ze “niet dringend genoeg” voor onmiddellijke reparatie. Daardoor blijft elke organisatie met Windows-systemen potentieel kwetsbaar.
Zolang de zero-day ongepatcht blijft, blijft er een directe opening in gevoelige Europese informatie en netwerken. Op korte termijn voelt deze aanval als een geïsoleerd incident, maar op lange termijn zal blijken dat onze infrastructuur nog heel kwetsbaar is.