近期網路安全界觀察到一起針對歐洲外交與政府機構的精密網路間諜活動，主要攻擊目標包括匈牙利、比利時、義大利和荷蘭的外交組織，以及塞爾維亞的政府機構。這次攻擊行動的幕後黑手被指為一個與中國有關聯的威脅行為者，代號為 UNC6384，該組織的戰術與工具集被認為與知名的 Mustang Panda 駭客團體存在重疊。

一個名為UNC6384的與中國有關聯的威脅行為者被指與一系列新的攻擊有關，這些攻擊利用未修補的 Windows 快捷方式漏洞，在 2025 年 9 月至 10 月期間針對歐洲外交和政府機構發動攻擊。攻擊鏈始於包含嵌入式 URL 的魚叉式網路釣魚電子郵件，這是導致惡意 LNK 文件傳播的幾個階段中的第一步。這些檔案旨在利用 ZDI-CAN-25373 漏洞觸發多階段攻擊鏈，最終透過 DLL 側載入部署PlugX惡意軟體。 PlugX 是一種遠端存取木馬，也稱為 Destroy RAT、Kaba、Korplug、SOGU 和 TIGERPLUG。最新一波攻擊利用帶有外交誘餌的網路釣魚郵件，引誘收件者開啟虛假附件。此附件旨在利用ZDI-CAN-25373漏洞。早在 2017 年，多個威脅行為者就曾利用該漏洞在受害者的電腦上執行隱藏的惡意命令，此漏洞的官方編號為CVE-2025-9491（CVSS 評分：7.0）。該惡意軟體提供全面的遠端存取功能，包括命令執行、鍵盤記錄、檔案上傳和下載操作、持久化建立以及廣泛的系統偵察功能，其模組化架構允許操作人員通過針對特定操作需求定制的插件模組來擴展功能。

UNC6384 的攻擊鏈展現了典型的複雜間諜活動特徵，其攻擊誘餌與歐洲委員會會議、北約相關研討會和多邊外交協調活動等主題相關，極具針對性。攻擊流程設計縝密，始於魚叉式網路釣魚電子郵件，郵件中包含一個嵌入式 URL，點擊後會導致惡意 LNK（快捷方式）檔案的傳播。這些 LNK 檔案旨在利用 ZDI-CAN-25373 漏洞（官方編號為 CVE-2025-9491，CVSS 評分為 7.0）。儘管該漏洞的存在早在 2017 年就被多個威脅行為者利用，但其仍未得到官方修補，導致風險持續存在。

攻擊成功的關鍵在於 LNK 檔案的設計。該檔案被編程為啟動一個 PowerShell 命令，用以解碼並提取一個 TAR 壓縮檔案的內容，同時向使用者顯示一個誘餌 PDF 文件，以掩蓋惡意活動。該 TAR 檔案內含三個核心組件：一個合法的 Canon 打印機助手工具、一個名為 CanonStager 的惡意 DLL，以及一個加密的 PlugX 負載 (cnmplog.dat)。駭客利用 DLL 側載（DLL side-loading）技術，透過合法的 Canon 程式執行惡意的 CanonStager DLL，最終加載並啟動 PlugX 惡意軟體。

PlugX 作為一種功能強大的遠端存取木馬（RAT），能提供全面的遠端存取能力，允許操作員執行指令、進行鍵盤記錄、上傳和下載檔案、建立持久性，並執行廣泛的系統偵察。此外，PlugX 具備模組化架構，使駭客能夠根據特定的行動需求，透過客製化的插件模組來擴展功能。為了避免被偵測，PlugX 還實施了各種反分析技術和反調試檢查，以抵抗安全研究人員對其內部結構的拆解。它主要透過修改 Windows 註冊表來實現持久性。

值得注意的是，研究人員觀察到 UNC6384 在 2025 年 9 月至 10 月期間使用的 CanonStager 偽裝構件尺寸出現穩步下降，從大約 700 KB 縮小至 4 KB，這表明該惡意軟體處於積極的開發中，並正演變成一種極簡工具，旨在達成目標的同時減少其在鑑識分析中留下的痕跡。此外，UNC6384 還被發現在 9 月初利用 HTML 應用程式（HTA）檔案來加載外部 JavaScript，該腳本隨後從 CloudFront 網路的子網域中檢索惡意負載，這被視為惡意軟體交付機制的一次精進。

本次活動專注於涉及國防合作、跨國政策協調和多邊外交框架的歐洲外交實體，這與中華人民共和國對歐洲聯盟凝聚力、國防倡議和政策協調機制的戰略情報需求高度吻合。這場攻擊不僅是技術的較量，更是國家利益驅動下網路間諜活動的鮮明例證。