Eine hochentwickelte Cyber-Spionage-Kampagne zielt systematisch auf europäische Regierungen und Botschaften ab. Die Angreifer nutzen eine ungepatchte Windows-Schwachstelle und raffinierte Verschleierungstechniken, um Schadsoftware auf Diplomaten-Computern zu installieren. Sicherheitsforscher ordnen die Attacken, die zwischen September und Oktober 2025 beobachtet wurden, der Gruppe UNC6384 zu – mit direkten Verbindungen zur chinesischen Hackerorganisation Mustang Panda. Besonders brisant: Die Kriminellen ködern ihre Opfer mit täuschend echten Dokumenten zu EU-Kommissionssitzungen und NATO-Treffen. Damit verschiebt sich der Fokus der Gruppe von Südostasien erstmals massiv nach Europa.

Die Angriffswelle trifft Ziele in Ungarn, Belgien, Italien, den Niederlanden und Serbien. Kann die europäische Cybersicherheit mit dieser neuen Bedrohungslage Schritt halten?

Raffinierte Täuschung in mehreren Stufen

Der Angriff beginnt klassisch: Diplomaten erhalten gezielt formulierte Phishing-E-Mails. Doch was folgt, ist alles andere als Standard. Die enthaltenen Links führen zu manipulierten Windows-Verknüpfungsdateien (.LNK), die eine kritische Sicherheitslücke ausnutzen. Die Schwachstelle CVE-2025-9491 ermöglicht es, schädliche Befehle unsichtbar in den Eigenschaften der Verknüpfung zu verstecken.

Öffnet das Opfer die Datei, startet automatisch ein verschleierter PowerShell-Befehl. Dieser extrahiert ein verstecktes Archiv mit drei Komponenten: Eine legitime, digital signierte Drucker-Software von Canon, eine bösartige DLL-Datei mit Canon-Tarnung und verschlüsselte Daten für die finale Schadsoftware PlugX. Um keinen Verdacht zu erregen, erscheint parallel ein harmlos wirkendes PDF-Dokument mit diplomatischem Inhalt auf dem Bildschirm – während im Hintergrund die Malware ihre Arbeit aufnimmt.

Anzeige: Apropos Windows – gerade bei gezielten Angriffen ist ein korrekt eingerichtetes System entscheidend. Der kostenlose Report erklärt Schritt für Schritt, wie Sie Ihr System sicher upgraden, Daten und Programme übernehmen und typische Fehler vermeiden, die Angreifer ausnutzen können. Hier kostenlosen Windows-Guide herunterladen

DLL-Sideloading: Der Tarnmantel für Schadsoftware

Das Herzstück dieser Kampagne ist eine Technik namens DLL-Sideloading. Sie nutzt gezielt aus, wie Windows-Programme benötigte Programmbibliotheken laden. Statt eine verdächtige Schadsoftware direkt auszuführen, starten die Angreifer die legitime Canon-Anwendung. Die platzierte Fake-DLL trägt denselben Namen wie die erwartete Original-Bibliothek – Windows lädt also die manipulierte Version.

Diese bösartige DLL fungiert als Lader, der die PlugX-Spionagesoftware entschlüsselt und direkt im Arbeitsspeicher ausführt. Durch die Tarnung als vertrauenswürdiger, signierter Prozess umgehen die Angreifer problemlos viele Sicherheitslösungen. Die legitime Canon-Software wird zum unwissentlichen Komplizen. Laut einem aktuellen Kaspersky-Report haben sich DLL-Hijacking-Attacken seit 2023 nahezu verdoppelt – ein deutliches Zeichen für die wachsende Beliebtheit dieser Methode.

Blitzschnelle Anpassung: UNC6384 unter Beobachtung

Die Gruppe UNC6384 beweist besorgniserregende Agilität. Sicherheitsanalysten stellen fest: Nur sechs Monate nach der öffentlichen Bekanntgabe der Windows-Schwachstelle im März 2025 setzten die Hacker sie bereits operativ ein. Diese Geschwindigkeit ist typisch für staatlich unterstützte Hackergruppen.

Doch damit nicht genug: Die Kriminellen optimieren ihre Werkzeuge kontinuierlich. Die Dateigröße des initialen Loaders schrumpfte dramatisch von rund 700 KB Anfang September auf gerade einmal 4 KB im Oktober 2025. Kleinere Dateien bedeuten: schwerer zu entdecken, schwerer zu analysieren. Strategisch markiert die Kampagne zudem eine bedeutende Verschiebung – weg von den historischen Zielen in Südostasien, hin zu europäischen Hochwertobjekten aus Diplomatie und Regierung.

Microsoft schweigt, Sicherheitslücke bleibt offen

Besonders brisant: Die ausgenutzte Schwachstelle CVE-2025-9491 wurde von Microsoft bis heute nicht geschlossen. Die Lücke ist seit März 2025 bekannt, Forscher dokumentieren ihre Ausnutzung durch staatliche Akteure bereits seit 2017. Microsoft verwies auf Anfrage lediglich auf "bewährte Sicherheitspraktiken" wie das Vermeiden unbekannter Dateien. Außerdem seien Schutzfunktionen im Microsoft Defender und Smart App Control vorhanden.

Doch reicht das? Sicherheitsexperten raten Organisationen dringend zu verstärktem Monitoring von PowerShell-Aktivitäten und gezielter Überwachung verdächtiger DLL-Ladevorgänge. Wenn signierte Programme plötzlich Bibliotheken aus ungewöhnlichen Verzeichnissen laden, sollten die Alarmglocken läuten. Endpoint-Detection-Lösungen sind mittlerweile unverzichtbar. Eines wird klar: Reine Signatur-basierte Virenschutz-Lösungen sind dieser Generation von Angriffen hoffnungslos unterlegen.

Anzeige: PS: Wer seine digitale Sicherheit ernst nimmt, sollte nicht nur PCs, sondern auch Smartphones schützen. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Maßnahmen für Android — von App-Auswahl bis Update-Management — und hilft, Datendiebstahl und Schadsoftware zu vermeiden. Gratis-Sicherheitspaket für Android herunterladen