Chinesische Hacker greifen europäische Diplomaten und Regierungen über eine ungepatche Windows-Lücke an. Microsoft weigert sich seit über einem Jahr, das Problem zu beheben – mit fatalen Folgen.

Eine ausgeklügelte Cyber-Spionage-Kampagne erschüttert derzeit europäische Diplomatenpositionen und Regierungsstellen. Hinter den Angriffen steht die berüchtigte chinesische Hackergruppe Mustang Panda, die eine bekannte aber ungepatche Windows-Schwachstelle ausnutzt. Besonders brisant: Microsoft wusste seit September 2024 von dem Problem, hält eine Reparatur aber für "nicht notwendig".

Die Cybersicherheitsfirma Arctic Wolf Labs warnte am 30. Oktober vor der eskaliierenden Bedrohung. Ziele der Angriffe sind diplomatische Einrichtungen in Ungarn, Belgien, Italien und den Niederlanden sowie serbische Regierungsabteilungen der Luftfahrtbehörden.

Die perfide Angriffsmethode: Versteckte Befehle in LNK-Dateien

Der Angriff beginnt mit penibel gefälschten E-Mails, die sich als legitime diplomatische Korrespondenz tarnen. Die Nachrichten enthalten URLs zu schädlichen LNK-Verknüpfungsdateien, die mit aktuellen Ereignissen wie EU-Kommissionssitzungen oder NATO-Workshops ködern.

Die Schwachstelle CVE-2025-9491 nutzt einen simplen aber wirkungsvollen Trick: Angreifer füllen die Befehlszeile in den LNK-Eigenschaften mit exzessiven Leerzeichen auf. Dadurch verschwinden die schädlichen Kommandos aus dem sichtbaren Bereich der Windows-Oberfläche. Selbst misstrauische Nutzer, die die Verknüpfung überprüfen, sehen nur harmlose Befehle.

Öffnet das Opfer die manipulierte Datei, startet ein verschleierter PowerShell-Befehl eine mehrstufige Malware-Kette. Am Ende steht die Installation des PlugX-Trojaners – einem mächtigen Spionage-Werkzeug, das Hackern vollständige Kontrolle über den infizierten Computer gewährt.

Microsoft ignoriert Jahrzehnte alte Sicherheitslücke

Besonders alarmierend: Die Schwachstelle ist keineswegs neu. Trend Micros Forscher wiesen bereits im März nach, dass mindestens elf verschiedene Hackergruppen aus China, Russland, Iran und Nordkorea die Lücke seit 2017 ausnutzen. Trotz dieser Erkenntnisse weigert sich Microsoft hartnäckig, einen Patch zu veröffentlichen.

Das Unternehmen argumentiert, bestehende Sicherheitsfeatures wie Microsoft Defender würden ausreichend Schutz bieten. Die aktuellen erfolgreichen Angriffe auf europäische Diplomaten beweisen das Gegenteil.

Die Hacker nutzen eine besonders raffinierte Tarnung: Sie missbrauchen legitime, digital signierte Canon-Druckertreiber, um ihre Schadsoftware zu laden. Diese "DLL-Side-Loading" genannte Technik umgeht die meisten Sicherheitslösungen, da der Angriff über vertrauenswürdige Software läuft.

Europäische Diplomatie im Visier

Die Wahl der Ziele ist kein Zufall. Mustang Panda, auch als UNC6384 bekannt, spezialisiert sich auf Regierungseinrichtungen und diplomatische Missionen. Der PlugX-Trojaner ermöglicht es den Angreifern, sensible Kommunikation abzuhören, geheime Dokumente zu stehlen und dauerhaft im Netzwerk zu verbleiben.

Die Geschwindigkeit, mit der die Hackergruppe die öffentlich bekannte Schwachstelle in ihre Angriffe integrierte, zeigt ihre hohe operative Kompetenz. Binnen sechs Monaten nach der Veröffentlichung war CVE-2025-9491 fester Bestandteil ihrer Spionage-Kampagnen.

Notfall-Schutzmaßnahmen ohne Microsoft-Patch

Da Microsoft weiterhin einen offiziellen Patch verweigert, müssen sich Organisationen selbst schützen. Sicherheitsexperten empfehlen mehrere Sofortmaßnahmen:

Unternehmen sollten die Ausführung von LNK-Dateien aus unvertrauenswürdigen Quellen blockieren oder stark einschränken. Netzwerküberwachung kann verdächtige Verbindungen zu den Kommando-Servern der Angreifer erkennen. Besondere Aufmerksamkeit gilt legitimer Software wie Canon-Dienstprogrammen, die von ungewöhnlichen Verzeichnissen aus starten.

Anzeige: Übrigens: Wer sich nicht nur am PC, sondern auch mobil vor raffinierten Hackerangriffen schützen möchte, sollte die größten Lücken am Smartphone schließen. Viele Android-Nutzer übersehen genau diese 5 Sicherheitsmaßnahmen – dabei reichen einfache Schritte, um WhatsApp, Online-Banking und PayPal deutlich besser abzusichern. Ein kostenloser Ratgeber erklärt alles verständlich Schritt für Schritt. Jetzt kostenloses Android-Sicherheitspaket anfordern

Die Verweigerungshaltung von Microsoft setzt einen gefährlichen Präzedenzfall: Wenn Schwachstellen als "nicht schwerwiegend genug" eingestuft werden, entstehen dauerhafte Angriffswege für Staatshacker. Die aktuellen Erfolge von Mustang Panda zeigen, wie verheerend diese Entscheidung für die internationale Diplomatie werden kann.