Chinesische Hacker attackieren Europas Diplomatie
Eine mit China verbundene Hackergruppe infiltriert europäische Regierungsnetzwerke über eine seit März bekannte, aber ungepatchte Windows-Sicherheitslücke und installiert PlugX-Spionagesoftware.
Europäische Botschaften und Regierungsbehörden geraten ins Visier einer raffinierten Cyber-Spionage-Kampagne. Die Angreifer nutzen eine ungepatchte Windows-Sicherheitslücke, um gezielt Überwachungssoftware zu installieren. Was macht diese Attacke so gefährlich?
Eine hochprofessionelle Hackergruppe mit Verbindungen nach China infiltriert seit September systematisch die Netzwerke europäischer Diplomatenviertel. Die als UNC6384 bekannte Gruppe exploitiert dabei die kritische Windows-Schwachstelle CVE-2025-9491, für die Microsoft bis heute keinen Patch bereitgestellt hat.
Das Cybersecurity-Unternehmen Arctic Wolf Labs deckte Ende Oktober die Machenschaften auf: Die Angreifer setzen den berüchtigten PlugX-Trojaner ein – eine bewährte Waffe chinesischer Spionagegruppen. Besonders brisant: Die Sicherheitslücke ist seit März öffentlich bekannt, doch Microsoft sah bislang keinen dringenden Handlungsbedarf.
Perfide Täuschung bei höchsten Sicherheitsstandards
Der Angriff beginnt mit scheinbar harmlosen E-Mails. Die Cyberkriminellen tarnen ihre Nachrichten als offizielle Kommunikation zu EU-Kommissionssitzungen, NATO-Workshops oder multilateralen Koordinationstreffen. Ein Klick auf die eingebetteten Links startet eine mehrstufige Infektionskette.
Herzstück der Attacke ist eine manipulierte Windows-Verknüpfungsdatei. Die Schwachstelle CVE-2025-9491 ermöglicht es, versteckte PowerShell-Befehle auszuführen – selbst wenn vorsichtige Nutzer die Datei-Eigenschaften überprüfen, bleiben die schädlichen Kommandos unsichtbar.
Besonders raffiniert: Die Hacker missbrauchen einen legitimen, digital signierten Canon-Druckertreiber. Über sogenanntes DLL-Side-Loading schleusen sie die Spionagesoftware unbemerkt ins System. Für Sicherheitsexperten ein Paradebeispiel für die Verschleierungstaktiken moderner Cyberkriegsführung.
Europa im Fadenkreuz strategischer Aufklärung
Die Angriffswelle trifft gezielt europäische Schlüsselpositionen. Betroffen sind Diplomatenvertretungen in Ungarn, Belgien, Italien und den Niederlanden. Auch serbische Regierungsbehörden, speziell die Luftfahrtabteilungen, stehen im Fokus der Spione.
Diese Zielauswahl ist kein Zufall. Die Angreifer interessieren sich offenbar für Informationen zur europäischen Verteidigungskooperation, Bündnisstrukturen und grenzüberschreitende Politikabstimmung. Sicherheitsanalysten sehen in UNC6384 einen Ableger der berüchtigten chinesischen APT-Gruppe Mustang Panda.
Die Verbindung stützt sich auf charakteristische Angriffsmuster und die Nutzung des PlugX-Trojaners – ein Lieblingswerkzeug chinesischer Geheimdienste. Bemerkenswert ist die geografische Ausweitung: Bislang konzentrierte sich Mustang Panda primär auf Südostasien.
Microsofts fatales Zögern
Im Zentrum der Schwachstelle steht CVE-2025-9491 mit einem CVSS-Score von 7.0. Trend Micros Zero Day Initiative meldete das Problem bereits im September 2024 an Microsoft. Die Antwort des Konzerns: Das Sicherheitsloch erfülle nicht die Kriterien für eine sofortige Reparatur.
Sechs Monate nach der öffentlichen Enthüllung im März nutzen nun staatliche Hacker die Lücke systematisch aus. Microsoft verweist auf seinen Defender-Virenschutz und die Smart App Control-Funktion als Schutzmaßnahmen – doch für hochsensible Regierungsnetzwerke reicht das kaum aus.
Die Verzögerung bei der Patch-Entwicklung wirft grundsätzliche Fragen zur Prioritätensetzung auf. Während Unternehmen auf Updates warten, sammeln ausländische Geheimdienste europäische Staatsgeheimnisse.
Europas digitale Verteidigung auf dem Prüfstand
Ohne verfügbare Patches bleiben europäische Institutionen auf improvisierte Schutzmaßnahmen angewiesen. Sicherheitsexperten empfehlen das Blockieren von LNK-Dateien aus unbekannten Quellen und verschärfte Überwachung verdächtiger PowerShell-Aktivitäten.
Anzeige: Passend zur aktuellen Windows-Sicherheitslage: Wer sich unabhängiger von Lücken und Zwangs-Updates machen möchte, kann Linux risikolos parallel zu Windows testen. Ein kostenloses Startpaket mit Ubuntu-Vollversion zeigt Schritt für Schritt, wie die Installation gelingt – ohne Datenverlust – und warum viele Nutzer mehr Tempo, Stabilität und Sicherheit gewinnen. Ideal, wenn Sie sensible Aufgaben nicht auf einem angreifbaren System erledigen wollen. Jetzt das kostenlose Linux-Startpaket sichern
Der Vorfall unterstreicht die Verwundbarkeit selbst höchster Sicherheitsstufen gegenüber geschickter sozialer Manipulation. Können Schulungen das Risiko menschlicher Fehler eliminieren, wenn selbst Diplomaten auf perfekt getarnte Phishing-Mails hereinfallen?
Die UNC6384-Kampagne demonstriert die neue Dimension staatlicher Cyberbedrohungen. Bis Microsoft reagiert, bleibt Europas diplomatische Infrastruktur einem unsichtbaren, aber hocheffektiven Gegner ausgesetzt.
