Nato i Unia Europejska zaatakowane przez lukę w Windowsie. Microsoft milczy

W systemie Windows istnieje luka, o której środowisko cyberbezpieczeństwa mówi od dawna. Umożliwia uruchomienie dowolnego kodu przy użyciu pliku skrótu .LNK. Informacje o niej ujawniono publicznie wiosną 2025 roku, lecz jej historia zaczęła się znacznie wcześniej. Minęły trzy lata, a poprawka wciąż nie została wydana. Tymczasem luka nie tylko nie została zapomniana, ale stała się jednym z narzędzi w kampanii wymierzonej w europejskie instytucje państwowe.

Między wrześniem a październikiem 2025 roku doszło do skoordynowanych ataków na instytucje dyplomatyczne i rządowe w krajach Unii Europejskiej. Arctic Wolf opublikowało raport techniczny, z którego wynika, że celem były placówki dyplomatyczne na Węgrzech, w Belgii, Włoszech i Holandii oraz urzędy rządowe w Serbii. Za działaniami ma stać klaster zagrożeń określany jako UNC6384, analizowany przez badaczy jako grupa powiązana z chińskimi strukturami wywiadowczymi.

Ataki rozpoczynały się od spersonalizowanych wiadomości phishingowych. Odbiorcy otrzymywali odnośnik prowadzący rzekomo do dokumentów dotyczących spotkań Komisji Europejskiej, wydarzeń NATO lub konsultacji dyplomatycznych. W rzeczywistości plik zawierał skrót .LNK, który stanowił pierwszy etap infekcji.

Luka CVE-2025-9491 i droga do przejęcia urządzenia

W atakach wykorzystano lukę ZDI-CAN-25373, śledzoną także jako CVE-2025-9491. Po otwarciu pliku .LNK uruchamiany był skrypt PowerShell, który pobierał zasoby z zaszyfrowanego archiwum TAR. Użytkownik widział jedynie pozornie wiarygodny dokument PDF. Równolegle w tle instalowana była biblioteka DLL powiązana z narzędziem PlugX.

PlugX należy do rodziny rozwiązań typu Remote Access Trojan. Umożliwia sterowanie komputerem, przechwytywanie danych z klawiatury, pobieranie i wysyłanie plików oraz utrzymywanie trwałej obecności w systemie przy użyciu zmian w rejestrze. Operacje są prowadzone tak, by ich ślady były minimalne. Według badaczy wielkość plików odpowiedzialnych za obsługę infekcji zmniejszała się z miesiąca na miesiąc, co wskazuje na aktywny rozwój kampanii oraz optymalizację narzędzia pod kątem niewykrywalności.

Stara luka, nowe techniki

Luka w plikach skrótów .LNK jest znana od lat. Trend Micro wskazuje, że była wykorzystywana przez wiele grup przestępczych od co najmniej 2017 roku. Wcześniej atakowała nią m.in. grupa XDSpy, która rozpowszechniała trojan XDigo w instytucjach państwowych w Europie Wschodniej.

Microsoft podkreśla, że Windows Defender jest w stanie wykryć atak, jeśli użytkownik zachowa ostrożność. Problem pozostaje jednak strukturalny: luka nadal istnieje. Mechanizmy ostrzegania nie zastąpią poprawki w kodzie źródłowym.

Komentarze ekspertów

Specjaliści zwracają uwagę, że wykorzystanie luki wymaga zaangażowania ofiary. Użytkownik musi otworzyć plik. Tego typu zabezpieczenie działa jednak jedynie przeciwko osobom nieświadomym zagrożeń. Dla zespołów prowadzących operacje cyberwywiadowcze stanowi to niewielką przeszkodę, ponieważ wiadomości phishingowe są przygotowywane na podstawie kontekstu spotkań dyplomatycznych i aktualnych wątków politycznych.

Według ekspertów kampania wpisuje się w długoterminowe cele zbierania informacji dotyczących współpracy wojskowej, koordynacji polityki międzypaństwowej oraz relacji wewnątrz struktur NATO i Unii Europejskiej.

Czekanie na decyzję

Brak oficjalnej łatki staje się problemem nie tylko technologicznym, ale również politycznym. Oprogramowanie systemowe pełni funkcję infrastruktury państwowej. Utrzymywanie w niej znanej luki przez kilka lat tworzy przestrzeń dla operacji o charakterze strategicznym.

Na razie pozostało czekać na to, czy Microsoft zdecyduje się opublikować poprawkę oraz czy instytucje publiczne zmienią zasady dystrybucji dokumentów i plików w środowiskach pracy.