Misiones de la OTAN y secretos de la UE en la mira: hackers chinos explotaron rápidamente una nueva vulnerabilidad de Windows para espionaje político
Hackers ocultaron el troyano PlugX en archivos disfrazados de documentos de la OTAN
En septiembre y octubre, especialistas de Arctic Wolf Labs identificaron una nueva ola de ciberespionaje dirigida contra misiones diplomáticas de Hungría y Bélgica. Según ellos, la operación está a cargo del grupo chino UNC6384, que ya había atraído la atención de grandes empresas tecnológicas. Ya en agosto Google informó sobre una actividad similar del mismo colectivo en el sudeste asiático, donde los atacantes enviaban documentos que imitaban el orden del día de reuniones del Consejo de la UE.
La investigación de Arctic Wolf mostró que el ataque contra organismos europeos comenzó con correos dirigidos, presentados como asuntos de reuniones de la Comisión Europea, seminarios de la OTAN y conferencias internacionales sobre cooperación diplomática. Los enlaces en esos mensajes conducían a un esquema de varias etapas para descargar archivos maliciosos disfrazados como materiales de eventos reales. Como resultado, los atacantes lograban ejecutar código malicioso en los ordenadores de los destinatarios.
Además de las instituciones de Bélgica y Hungría, los especialistas registraron actividad de UNC6384 contra organismos estatales serbios relacionados con la aviación, así como misiones diplomáticas de Italia y los Países Bajos. Por el contenido de los documentos, a los atacantes les interesaban cuestiones de política transfronteriza, cooperación de defensa y coordinación en materia de seguridad. Se subraya además que los organismos belgas tienen un valor especial por albergar en su territorio la sede de la OTAN y numerosos institutos de la UE, lo que los convierte en un objetivo atractivo para la vigilancia de inteligencia sobre la política de la alianza y los procesos de elaboración de la agenda paneuropea.
Según Arctic Wolf, la escalada de los ataques contra las estructuras diplomáticas europeas indica bien una expansión del mandato de UNC6384, bien la incorporación de unidades operativas adicionales con especialización regional. Al mismo tiempo, la naturaleza de las herramientas y los métodos en distintos países sigue siendo idéntica, lo que apunta a un desarrollo centralizado del software y a su reparto entre los equipos de campo.
El elemento central de la campaña fue la explotación de una vulnerabilidad de Windows divulgada en marzo de 2025 y registrada como ZDI-CAN-25373. A través de ella, los atacantes lograban ejecutar comandos de PowerShell que instalaban el malware PlugX —un conocido instrumento usado por diversas estructuras chinas de ciberespionaje. Esta actividad, según Arctic Wolf, demuestra una "evolución táctica" del grupo, que combina una nueva técnica de explotación con una ingeniería social más sofisticada.
Los investigadores recordaron que ya en primavera Trend Micro informó del uso de la misma vulnerabilidad como día cero por varios grupos gubernamentales de hackers de China, Irán y Corea del Norte, lo que les permitió organizar robos masivos de datos y operaciones de inteligencia. En el caso de UNC6384 resulta especialmente inquietante la rapidez de adaptación: apenas seis meses después de la divulgación pública del fallo, la vulnerabilidad ya había sido integrada en el arsenal del grupo. Según Arctic Wolf, esto puede indicar tanto un seguimiento sistemático de los boletines públicos de seguridad como la existencia de canales de acceso anticipado a información sobre fallos.
PlugX, usado en el ataque, permite a los atacantes persistir en el sistema, espiar la correspondencia y los planes de los organismos diplomáticos, extraer documentos y recopilar credenciales para avanzar lateralmente en la red. Este malware es conocido desde 2008 y sigue evolucionando activamente. Entre sus modificaciones están las versiones Korplug, TIGERPLUG y SOGU, y las muestras más recientes encontradas por Arctic Wolf fueron recopiladas en los últimos meses. Mantienen capacidades clave para el espionaje —registro de pulsaciones, subida y descarga de archivos, monitorización de procesos del sistema— al tiempo que reducen notablemente la huella que dejan en el sistema, lo que complica la forense.
Arctic Wolf vincula a UNC6384 con uno de los grupos chinos más conocidos, Mustang Panda: coinciden la infraestructura, las herramientas, el conjunto de objetivos y los enfoques operativos. PlugX se asocia tradicionalmente con esa organización. En enero, el Departamento de Justicia de Estados Unidos llevó a cabo una operación para eliminar PlugX de más de 4.000 dispositivos estadounidenses, con el fin de detener la campaña de Mustang Panda. Entonces el malware se había detectado en aproximadamente 100.000 ordenadores en 170 países. Entre las víctimas del grupo figuran la Unión Africana, operadores de telecomunicaciones, jefes de gobierno de países asiáticos, el presidente de Myanmar y el servicio de inteligencia de Indonesia.
¿Estás cansado de que Internet sepa todo sobre ti?