Eine seit Jahren bekannte Windows-Schwachstelle ohne Patch wird aktiv für Cyberangriffe gegen europäische Regierungen und Botschaften genutzt. Microsoft verweigert weiterhin die Reparatur.

Chinesische Hackergruppen nutzen eine kritische, ungepatchte Windows-Sicherheitslücke für eine ausgeklügelte Spionagekampagne gegen hochrangige europäische Ziele. Die Schwachstelle CVE-2025-9491 betrifft Windows-Verknüpfungsdateien (.LNK) und ermöglicht es Angreifern, schädliche Befehle zu verstecken, die beim Öffnen einer Datei ausgeführt werden.

Obwohl Microsoft die Lücke bereits vor über einem Jahr gemeldet wurde und zahlreiche staatliche Hackergruppen sie aktiv ausnutzen, gibt es bis heute keinen Sicherheitspatch. Die jüngste Angriffswelle, die in den vergangenen Tagen aufgedeckt wurde, verdeutlicht das erhebliche Risiko – besonders für Regierungen und diplomatische Einrichtungen.

Unsichtbare Befehle in harmlosen Dateien

Das Herzstück von CVE-2025-9491 ist ein "UI-Darstellungsfehler". Die Schwachstelle nutzt aus, wie Windows Dateieigenschaften anzeigt. Angreifer können bösartige .LNK-Dateien erstellen und mächtige Befehle wie verschleierte PowerShell-Skripte in das Zielfeld der Verknüpfung einbetten.

Durch das Auffüllen des Felds mit großen Mengen an Leerzeichen werden diese schädlichen Befehle für jeden unsichtbar, der die Dateieigenschaften über das Standard-Windows-Dialogfeld überprüft. Klickt ein ahnungsloser Nutzer auf die Verknüpfung, werden die versteckten Befehle ohne weitere Warnung ausgeführt.

Bei den aktuellen Angriffen löst dies eine mehrstufige Infektionskette aus. Das PowerShell-Skript extrahiert ein komprimiertes Archiv mit einem legitimen, digital signierten Canon-Druckertreiber, einem bösartigen DLL-Loader und einer verschlüsselten Nutzlast für den PlugX-Trojaner.

Diplomatische Ziele im Visier

Das Cybersecurity-Unternehmen Arctic Wolf Labs deckte kürzlich eine aktive Kampagne auf, die diese Schwachstelle von September bis Oktober 2025 gegen europäische Ziele einsetzte. Die Angriffe werden mit hoher Wahrscheinlichkeit der Gruppe UNC6384 zugeschrieben, die mit der China-nahen Mustang Panda verbunden ist.

Die Ziele umfassen diplomatische Organisationen in Ungarn, Belgien, Italien und den Niederlanden sowie Regierungsbehörden in Serbien. Die Angreifer nutzen sorgfältig gestaltete Spear-Phishing-E-Mails als Einfallstor mit eingebetteten URLs, die zum Download der bösartigen .LNK-Dateien führen.

Um ihre Glaubwürdigkeit zu erhöhen, verwenden die Angreifer Themen, die für ihre Ziele relevant sind: Tagesordnungen für EU-Kommissionssitzungen, NATO-Workshops und andere multilaterale diplomatische Veranstaltungen. Der PlugX-Trojaner verschafft den Angreifern umfassenden Fernzugriff für Befehlsausführung, Keylogging und Systemaufklärung.

Microsofts umstrittene Entscheidung

Trend Micros Zero Day Initiative meldete die Schwachstelle bereits im September 2024 an Microsoft. Das Unternehmen kam jedoch zu dem Schluss, dass das Problem nicht "schwerwiegend genug für eine Reparatur" sei und lehnte einen Patch ab. Nach seiner Offenlegungsrichtlinie machte die Initiative die Schwachstelle im März 2025 öffentlich.

Recherchen zeigen: Diese Schwachstelle ist seit mindestens 2017 ein bewährtes Werkzeug für elf staatlich geförderte Hackergruppen aus Nordkorea, Russland, China und Iran. Microsoft argumentiert, dass bestehende Sicherheitslösungen wie Microsoft Defender die Aktivitäten erkennen und blockieren können. Der anhaltende Erfolg dieser Kampagnen beweist jedoch das Gegenteil.

Verteidigung ohne offiziellen Patch

Ohne Microsoft-Update müssen Organisationen proaktive Schutzmaßnahmen ergreifen:

  • E-Mail-Filter: Blockierung von .LNK-Dateien aus unbekannten Quellen, besonders in ZIP-Archiven
  • Mitarbeiterschulung: Sensibilisierung für verdächtige Verknüpfungsdateien und Überprüfung aller Downloads
  • Endpoint-Überwachung: Warnung bei verdächtigen Prozessen wie cmd.exe oder powershell.exe, die von .LNK-Dateien gestartet werden
  • Threat Hunting: Proaktive Suche nach Kompromittierungs-Indikatoren

Die anhaltende Ausnutzung von CVE-2025-9491 zeigt eindringlich: Auch scheinbar kleine Schwachstellen können mit erheblichen Auswirkungen bewaffnet werden. Solange Microsoft keinen Patch liefert, müssen potenzielle Ziele wachsam bleiben und robuste, mehrstufige Abwehrmaßnahmen implementieren.