🕵️‍♂️ El archivo que abrió una embajada: campaña china explota vulnerabilidad de Windows LNK

Un simple acceso directo de Windows fue suficiente para abrirle la puerta al espionaje internacional.
Entre septiembre y octubre de 2025, el grupo UNC6384, vinculado a China, ejecutó una campaña de espionaje digital dirigida contra embajadas y organismos gubernamentales europeos, aprovechando una vulnerabilidad en accesos directos de Windows identificada como CVE-2025-9491.

Este fallo, descubierto en marzo de 2025, permite ejecutar comandos maliciosos de forma oculta mediante archivos .LNK manipulados, que activan una cadena de ataque silenciosa pero extremadamente sofisticada.

🎯 Objetivos del ataque

Los blancos confirmados incluyen entidades diplomáticas en Hungría, Bélgica, Italia y Países Bajos, además de agencias gubernamentales en Serbia.
La operación arrancó con correos de spear phishing diseñados con precisión: mensajes que simulaban invitaciones o documentos oficiales de reuniones europeas.
Al abrir el archivo LNK, el sistema ejecutaba código malicioso en segundo plano mientras mostraba un PDF legítimo al usuario —una distracción perfecta para evitar sospechas.

Detrás de esa ejecución se desplegaba el malware PlugX, también conocido como Destroy RAT o SOGU.

🧬 Qué hace PlugX (y por qué sigue siendo tan efectivo)

PlugX es un troyano de acceso remoto modular (RAT) con un amplio rango de capacidades:

• Ejecuta comandos en el sistema comprometido

• Registra pulsaciones de teclado

• Carga y descarga archivos

• Mantiene persistencia tras reinicios

• Escanea el entorno de red y realiza reconocimiento profundo

Su verdadero poder está en su bajo perfil: usa payloads mínimos, carga lateral de DLLs (DLL sideloading) y técnicas anti-debugging para esquivar antivirus y EDRs corporativos.
En entornos diplomáticos o de gobierno, donde los sistemas no se actualizan tan rápido por temas de compatibilidad, estas tácticas son una receta perfecta para el espionaje silencioso.

🧩 Cómo evoluciona la técnica

La nueva variante usada por UNC6384 va más allá del típico archivo LNK.
Ahora integra archivos HTA (HTML Application) que cargan scripts remotos alojados en la nube, haciendo que la entrega del malware sea dinámica y aún más difícil de rastrear.
Así, los atacantes pueden actualizar o reemplazar sus cargas útiles sin tener que reenviar correos nuevos, manteniendo la misma infraestructura de engaño.

🧠 Qué puedes hacer tú (en tu entorno de TI)

Aunque esta operación apunta a diplomáticos, las técnicas son perfectamente reutilizables contra empresas, escuelas o proveedores de tecnología.
Toma nota:

1. Actualiza Windows y verifica que los parches de marzo 2025 en adelante estén aplicados.

2. Bloquea la ejecución de archivos LNK y HTA desde ubicaciones externas o temporales.

3. Configura políticas de correo que filtren adjuntos sospechosos y enlaces con extensiones ocultas.

4. Educa a los usuarios: si un archivo “parece urgente” o viene con un PDF “importante”, no lo abras sin verificar.

5. Monitorea actividad PowerShell y procesos anómalos, especialmente si ves ejecuciones simultáneas de cmd.exe, rundll32.exe o powershell.exe.

🌐 En perspectiva

Más allá de lo técnico, esta campaña refleja un interés estratégico del gobierno chino en vigilar la cooperación y defensa europea a través del espionaje digital.
El caso de UNC6384 es un recordatorio claro de cómo una vulnerabilidad aparentemente menor puede convertirse en un arma geopolítica, y de por qué la ciberconciencia debe estar al mismo nivel que la seguridad física en cualquier organización moderna.