#plugx targeting VN "evv.msi" -> famisu[.]com e0058681fabb8e49ec780fdd78ec01fd

📰 China-Backed Group Exploits Unpatched Windows Flaw to Spy on EU Diplomats

⚠️ China-linked hackers (UNC6384) exploit unpatched Windows flaw CVE-2025-9491 to spy on EU diplomats. Attacks use malicious LNK files to deploy PlugX RAT. Microsoft has declined to patch the vulnerability. #CyberEspionage #ZeroDay #PlugX

🔗 https://cyber.netsecops.io/articles/china-linked-unc6384-exploits-unpatched-windows-flaw-to-spy-on-european-diplomats/?utm_source=mastodon&utm_medium=socia…

📰 China-Backed Group Exploits Unpatched Windows Flaw to Spy on EU Diplomats

⚠️ China-linked hackers (UNC6384) exploit unpatched Windows flaw CVE-2025-9491 to spy on EU diplomats. Attacks use malicious LNK files to deploy PlugX RAT. Microsoft has declined to patch the vulnerability. #CyberEspionage #ZeroDay #PlugX

🔗 https://cyber.netsecops.io/articles/china-linked-unc6384-exploits-unpatched-windows-flaw-to-spy-on-european-diplomats/?utm_source=mastodon&utm_medium=socia…

Dwie groźne luki w Windows aktywnie wykorzystywane. Jedna to 8-letni zero-day bez łatki

Badacze bezpieczeństwa biją na alarm w sprawie dwóch poważnych luk w systemie Windows, które są obecnie aktywnie i na szeroką skalę wykorzystywane w atakach.

Jak donosi serwis ArsTechnica, jedna z luk to krytyczna podatność, którą Microsoft niedawno próbował nieudolnie załatać. Druga to zero-day, który był wykorzystywany przez grupy hakerskie powiązane z rządami od co najmniej… 2017 roku i do dziś nie ma na to stosownej poprawki!

Groźniejsza i bardziej niepokojąca jest podatność zero-day, śledzona obecnie jako CVE-2025-9491. To błąd w obsłudze formatu skrótów Windows (.lnk). Luka została publicznie ujawniona w marcu 2025 roku przez Trend Micro, które odkryło, że była ona aktywnie wykorzystywana przez co najmniej 11 różnych grup hakerskich (APT) od 2017 roku do instalowania trojanów i oprogramowania szpiegującego. Mimo że od odkrycia minęło siedem miesięcy, Microsoft wciąż nie wydał na nią oficjalnej łaty bezpieczeństwa.

W ostatnich dniach firma Arctic Wolf zgłosiła nową, zmasowaną kampanię wykorzystującą właśnie tę lukę. Atakujący, prawdopodobnie powiązani z Chinami, używają jej do infekowania celów w Europie popularnym trojanem zdalnego dostępu (RAT) o nazwie PlugX. Z powodu braku łatki, jedyną skuteczną metodą obrony jest ręczne blokowanie lub ograniczanie przez administratorów użycia plików .lnk z niezaufanych źródeł.

Druga aktywnie wykorzystywana podatność to CVE-2025-59287, krytyczna (9.8/10) luka w usłudze Windows Server Update Services (WSUS), czyli narzędziu, którego administratorzy używają do zarządzania aktualizacjami w firmach. Błąd ten umożliwia zdalne wykonanie kodu (RCE) i jest potencjalnie zdolny do samodzielnego rozprzestrzeniania się w sieci.

Problem w tym, że Microsoft próbował załatać tę dziurę podczas październikowego „Patch Tuesday”, ale zrobił to nieskutecznie. Publicznie dostępny kod (PoC) szybko udowodnił, że poprawka jest niekompletna. Hakerzy natychmiast to wykorzystali. Firmy bezpieczeństwa, jak Huntress i Sophos, potwierdziły, że obserwują masowe ataki na serwery WSUS od 23-24 października. Microsoft był zmuszony do wydania drugiej, awaryjnej łatki poza standardowym harmonogramem, aby ostatecznie zamknąć dziurę.

Administratorzy systemów Windows powinni natychmiast zweryfikować, czy ich serwery WSUS mają zainstalowaną drugą, poprawną aktualizację. W przypadku luki zero-day w plikach .lnk, zarówno administratorzy, jak i zwykli użytkownicy, muszą zachować szczególną ostrożność i czekać na ruch ze strony Microsoftu, który do tej pory nie podał daty wydania poprawki.

Koniec z technicznym bełkotem. Aktualizacje Windows 11 będą bardziej zrozumiałe

#0Day #ArsTechnica #CVE202559287 #CVE20259491 #cyberbezpieczeństwo #lukaWZabezpieczeniach #Microsoft #news #PlugX #TrendMicro #windows #WSUS #zeroDay

China-linked UNC6384 group targets European diplomats via spear-phishing & PlugX malware.
Attack exploited Windows flaw ZDI-CAN-25373.
Full story 👉 https://www.technadu.com/china-linked-hacking-group-targets-european-diplomatic-entities-in-espionage-campaign/612350/

#CyberSecurity #APT #PlugX #UNC6384 #CyberEspionage

UNC6384 setzt Windows-Zero-Day ein – PlugX gegen diplomatische Vertretungen in Ungarn und Belgien
Die Kampagne zielte auf diplomatische Einrichtungen in Ungarn und Belgien und breitete sich auf weitere europäische Einrichtungen aus. PlugX wird in Memory ausgeführt, um dauerhaften Fernzugriff und verdeckte Datensammlung zu ermöglichen.

https://www.all-about-security.de/unc6384-setzt-windows-zero-day-ein-plugx-gegen-diplomatische-vertretungen-in-ungarn-und-belgien/

#plugx #zeroday #cyberspionage #cyber
security #MalwareTools #malware #Spearphishing

🚨 PlugX & Bookworm RATs resurface in Asia’s telecom + ASEAN networks.
🔹 PlugX overlaps w/ Naikon + BackdoorDiplomacy
🔹 Bookworm = Mustang Panda’s long-lived modular RAT
🔹 DLL side-loading, RC4 key reuse, stealthy C2
💬 Do overlaps between APT toolkits weaken attribution?
👉 Follow @technadu for sharp threat intel.

#PlugX #Bookworm #MustangPanda #Naikon #BackdoorDiplomacy #ASEAN #APT #ThreatIntel #CyberSecurity #TechNadu

🚨 Menace cyber majeure en Asie : PlugX et Bookworm ciblent les télécoms. Nouveaux algorithmes de chiffrement et techniques d'évasion sophistiquées. #Cybersécurité #APT #ChinaHackers #PlugX #Bookworm https://lynxintel.io/menaces-plugx-et-bookworm-sur-les-reseaux-de-telecoms-asiatiques/

Google’s report on #UNC6384 lists this certificate as being used in C2 comms by Sogu (#PlugX variant):
eca96bd74fb6b22848751e254b6dc9b8e2721f96

Here’s an @anyrun_app execution, of AdobePlugins.​exe on May 19, which runs CANONSTAGER as well as SOGU.​SEC:
https://app.any.run/tasks/ce2745eb-edac-4e62-b5a9-5d9515b88bc4

It connects to the C2 server on 166.88.2[.]90, which actually provides a different certificate.
🔥 50f990235d7492431f57953cec14a478fb662c8d
🔥 SAN: *.crossfitolathe.​com

🚨 PRC-nexus UNC6384 targeting diplomats via captive portal hijacks.
⚡ Key tradecraft:
- Fake Adobe plugin updates delivered via Wi-Fi login redirects
- Valid TLS + signed GlobalSign certs abused
- PlugX is deployed in-memory via DLL sideloading

👉 Raises the question: if certs + HTTPS can be weaponized, what should defenders rely on?
🔔 Follow @technadu for ongoing threat intel.

#PlugX #APT #CyberSecurity #ThreatIntel #InfoSec

🆕We publish today the result of a deep-dive investigation into a malicious campaign leveraging #ShadowPad and #PlugX to distribute a previously-undocumented ransomware, dubbed #NailaoLocker.
This campaign targeted 🇪🇺 organizations during S2 2024 and is tied to Chinese TA 🇨🇳.

➡️The full article on the Green Nailao cluster is available here: https://orangecyberdefense.com/global/blog/cert-news/meet-nailaolocker-a-ransomware-distributed-in-europe-by-shadowpad-and-plugx-backdoors

➡️IOCs and Yara can be found on our GitHub: https://github.com/cert-orangecyberdefense/cti/tree/main/green_nailao

Compton and Long Beach Hackers Together... now you know we're in trouble!

#News #TechNews #Cybercrime #Espionage #PlugX #China #Russia #Iran #hacking #privacy

https://youtu.be/yTHI9cx5nas

Daily podcast: Compton and Long Beach Hackers Together... now you know we're in trouble!

#News #TechNews #Cybercrime #Espionage #PlugX #China #Russia #Iran #hacking #privacy #podcast

https://soundcloud.com/nickaesp/clt

Mehrere Staaten desinfizieren Botnetz, Deutschland nicht | Security https://www.heise.de/news/Botnetz-Plug-X-Reinemachen-geht-nicht-10252309.html #CyberCrime #PlugX #Malware @bsi #BKA #Bundeskriminalamt #Botnet

New Episode Alert! Listen to Cyberside Chats: When the FBI Becomes Your IT Department. Join @sherridavidoff & @MDurrin to explore the FBI takedown of PlugX #malware. Listen as they dive into the legal, ethical, and operational impacts of these law enforcement actions and provide actionable advice for IT and security leadership to prepare for similar events.

Listen to the podcast: https://www.podbean.com/eas/pb-ppbvz-17be741
Watch the video: https://youtu.be/BSpWwjcWWa8

#Cybersecurity #PlugX #cyber #databreach #DFIR #cyber #infosec #CISO #riskmanagement #cyberaware

FBI hacked thousands of computers to make malware uninstall itself

The FBI hacked about 4,200 computers across the US as part of an operation to find and delete PlugX, a malware used by state-backed hackers in China to steal information from victims.

#FBI #PlugX #china #chinese #malware #security #cybersecurity #hackers #hacking

https://www.theverge.com/2025/1/14/24343495/fbi-computer-hack-uninstall-plugx-malware

https://www.theverge.com/2025/1/14/24343495/fbi-computer-hack-uninstall-plugx-malware #cybersecurity #FBI #FrenchLawEnforcement #China #WillTyphoon #malware #PlugX

PlugX Malware Removed from Thousands of Computers in Major Global Operation - https://www.redpacketsecurity.com/chinese-plugx-malware-deleted-in-global-law-enforcement-operation/

#threatintel #PlugX #Mustang_Panda #cyber_espionage

The #FBI has mass-removed the #PlugX #malware from infected US computers. The infections were attributed to #MustangPanda (aka #TwillTyphoon).

Remember this is just one botnet of #PlugX it's still used in the wild by many other threat actor groups.

For you #DFIR folks, ensure you know how to go #ThreatHunting for DLL-Side Loading to find #PlugX in your network.

https://www.bleepingcomputer.com/news/security/fbi-wipes-chinese-plugx-malware-from-over-4-000-us-computers/
#IncidentResponse

Justice Department and FBI Conduct International Operation to Delete Malware Used by China-Backed Hackers
#MustangPanda #PlugX
https://www.justice.gov/opa/pr/justice-department-and-fbi-conduct-international-operation-delete-malware-used-china-backed