Fin août, une vulnérabilité Zero-Day dans l’affichage des fichiers LNK sous Windows a été découverte. Cependant, Microsoft ne l’a pas jugée hautement risquée et n’envisage pas de la corriger. Pourtant, la société de sécurité informatique Arctic Wolf a signalé que le groupe de cybercriminels UNC6384, lié à la Chine, a exploité cette vulnérabilité pour mener des opérations d’espionnage contre des diplomates européens dans plusieurs pays, dont la Belgique, l’Italie et la Hongrie. Cette campagne, qui s’est déroulée en septembre et octobre, impliquait des courriels de spearphishing menant à la distribution de fichiers LNK malveillants, aboutissant à l’installation du cheval de Troie d’accès à distance PlugX via un chargement latéral de DLL. Arctic Wolf recommande de bloquer les fichiers .lnk provenant de sources non fiables et de désactiver la résolution automatique dans l’Explorateur Windows pour atténuer le risque. Les indicateurs de compromission incluent des URL spécifiques et la présence d’utilitaires d’assistance d’imprimantes Canon dans des répertoires inhabituels. Cette exploitation continue pourrait inciter Microsoft à réévaluer le niveau de menace et à combler cette faille de sécurité.
Une vulnérabilité LNK de Windows met-elle en danger les diplomates européens ?
