APT cinesi sfruttano vulnerabilità zero-day nei sistemi VMware e Windows, conducendo operazioni di spionaggio cibernetico contro entità europee e settori diplomatici sensibili. La CISA inserisce la falla CVE-2025-41244 nel catalogo Known Exploited Vulnerabilities (KEV) dopo aver rilevato attività di sfruttamento attivo. Secondo NVISO Labs e Google Mandiant, gli attori UNC5174 e UNC6384, legati alla Repubblica Popolare Cinese, impiegano exploit e malware avanzati come PlugX per ottenere accesso privilegiato, furto di dati e controllo remoto di macchine infette in ambasciate e istituzioni europee.
Cosa leggere
Vulnerabilità VMware e privilegio elevato
La CVE-2025-41244 riguarda un difetto in Broadcom VMware Tools e Aria Operations, che consente a un attaccante locale di ottenere privilegi di root su una macchina virtuale. NVISO Labs rileva l’exploit durante un’analisi di risposta a incidenti, collegandolo al gruppo UNC5174. Il problema deriva da azioni non sicure di gestione privilegi, sfruttabili da utenti con permessi limitati. Broadcom pubblica una patch correttiva un mese dopo la scoperta, ma la vulnerabilità risulta già sfruttata come zero-day da ottobre 2024. L’attacco consente l’esecuzione di codice arbitrario in contesti privilegiati, compromettendo l’integrità dell’intero ambiente virtuale. Gli analisti definiscono la falla “triviale da sfruttare”, un elemento che ne accelera la diffusione tra attori statali e opportunistici. NVISO Labs e Maxime Thiebaut confermano che l’exploit si diffonde rapidamente a causa della sua semplicità tecnica. CISA richiede alle agenzie FCEB di applicare le mitigazioni obbligatorie entro il 20 novembre 2025, segnalando la vulnerabilità come prioritaria per la sicurezza federale. Broadcom fornisce istruzioni dettagliate di aggiornamento, mentre i sistemi non patchati restano esposti a elevazione di privilegi e compromissione persistente. La presenza di VMware Tools e di Aria Operations con SDMP attivo amplifica il rischio, rendendo i sistemi target perfettamente idonei a essere violati con semplicità.
Attacchi su infrastrutture e diplomatici europei
Parallelamente, il gruppo UNC6384, conosciuto anche come Mustang Panda o Twill Typhoon, sfrutta una vulnerabilità Windows di tipo shortcut (LNK), identificata come CVE-2025-9491, per condurre campagne di spionaggio contro diplomatici europei. L’attacco, individuato da Arctic Wolf, colpisce funzionari in Belgio, Ungheria, Italia, Paesi Bassi e Serbia, rubando documenti relativi alla sicurezza e cooperazione europea. Gli aggressori utilizzano email di phishing altamente mirate che imitano inviti a conferenze diplomatiche e includono file Agenda_Meeting 26 Sep Brussels.lnk, apparentemente legittimi, ma contenenti un codice exploit per eseguire comandi segreti. Il file LNK arma un processo di DLL sideloading: sfrutta un’applicazione Canon firmata ma obsoleta, dotata di un certificato Symantec scaduto nel 2018, ancora accettato da Windows per via del timestamp valido. Gli aggressori utilizzano questa anomalia per bypassare i controlli di sicurezza e caricare la DLL malevola che decritta ed esegue PlugX, un Remote Access Trojan in uso dagli apparati cinesi dal 2008. PlugX fornisce accesso remoto, keylogging, upload e download file, assicurando persistenza e controllo completo delle macchine compromesse.
Catena di attacco e tecniche di evasione
La catena d’infezione, in tre fasi, si basa su PowerShell per decodificare archivi compressi e caricare moduli dannosi. Il malware PlugX viene eseguito all’interno di un processo firmato, rendendo difficile il rilevamento da parte di soluzioni endpoint security. Secondo Zero Day Initiative, la falla ZDI-CAN-25373, da cui deriva CVE-2025-9491, viene sfruttata da almeno undici gruppi sponsorizzati da stati, inclusi attori da Cina, Corea del Nord, Iran e Russia. Microsoft riceve la segnalazione a marzo 2025, ma non rilascia ancora un fix, consentendo agli attaccanti di operare indisturbati per mesi. La capacità di UNC6384 di sfruttare una vulnerabilità pubblica entro pochi mesi dalla divulgazione conferma un’elevata reattività operativa. Gli analisti osservano un’evoluzione dalle operazioni nel Sud-est asiatico verso obiettivi europei, segno di una espansione strategica coordinata da Pechino. Gli attacchi a personale diplomatico mostrano un’attenzione al contesto geopolitico e l’impiego di lure personalizzati basati su eventi reali, che aumentano il tasso di successo del phishing.
Implicazioni per la sicurezza globale
Le campagne di UNC5174 e UNC6384 indicano una cooperazione informale tra gruppi sponsorizzati dalla Cina, focalizzata su infrastrutture critiche e asset diplomatici. Entrambi sfruttano vulnerabilità note o in fase di patch, dimostrando che la latenza nelle correzioni rappresenta ancora un vettore di rischio primario. Le autorità occidentali reagiscono integrando tali falle nel catalogo KEV e imponendo tempistiche stringenti per l’applicazione delle patch. Tuttavia, la trivialità tecnica di alcuni exploit ne favorisce la replicazione da parte di altri gruppi, inclusi cyber criminali non statali. La comunità internazionale intensifica la condivisione di intelligence tra agenzie e aziende, mentre Microsoft e Broadcom accelerano la pubblicazione di aggiornamenti. Gli esperti suggeriscono audit periodici e monitoraggio continuo delle configurazioni, in particolare in ambienti virtualizzati e diplomatici. Gli incidenti recenti dimostrano come la superficialità nella gestione delle patch possa trasformare vulnerabilità locali in punti d’ingresso strategici per campagne di spionaggio persistente. Il rafforzamento della sicurezza passa per un approccio multilivello: verifica email, autenticazione multifattore, segmentazione delle reti e formazione del personale restano i pilastri della resilienza. Gli attacchi analizzati confermano che la minaccia statale cinese mantiene una presenza costante e diversificata nel cyberspazio, capace di adattarsi alle contromisure e di combinare zero-day tecnici con manipolazioni sociali su larga scala.
