Windows-Schwachstelle: China-Hacker infiltrieren europäische Diplomaten

Seit Monaten missbrauchen staatliche Angreifer eine kritische Sicherheitsschwachstelle in Windows für groß angelegte Spionageangriffe auf europäische Regierungen, ohne dass Microsoft einen Patch bereitstellt.

Eine kritische Sicherheitslücke in Microsoft Windows wird seit Monaten von chinesischen Hackern ausgenutzt – und das völlig ungehindert. Trotz öffentlicher Warnung im März 2025 hat Microsoft die Schwachstelle noch immer nicht gepatcht. Das Resultat: Eine groß angelegte Spionagekampagne gegen europäische Regierungen und Botschaften.

Die Hacker-Gruppe UNC6384, die Verbindungen zum berüchtigten chinesischen Staatshacker-Kollektiv Mustang Panda hat, nutzt die Lücke CVE-2025-9491 seit September systematisch aus. Betroffen sind diplomatische Einrichtungen in Ungarn, Belgien, Serbien, Italien und den Niederlanden.

Perfide Täuschung: Wenn Verknüpfungen zum Einfallstor werden

Die Schwachstelle betrifft die Art, wie Windows mit Verknüpfungsdateien (.LNK) umgeht. Angreifer können dabei schädliche Befehle vor dem Nutzer verstecken. In den Dateieigenschaften erscheint die Verknüpfung harmlos – tatsächlich löst das Öffnen aber eine unsichtbare PowerShell-Attacke aus.

Der Angriff beginnt mit raffiniert gestalteten Phishing-E-Mails. Die Nachrichten greifen Themen auf, die für europäische Diplomaten relevant sind: NATO-Workshops, EU-Kommissions-Treffen oder internationale Konferenzen. Ein einziger Klick auf den enthaltenen Link startet eine mehrstufige Infektionskette.

Das eigentliche Ziel: Die Installation der PlugX-Schadsoftware. Diese berüchtigte Spionage-Software gibt den Angreifern vollständige Kontrolle über infizierte Systeme – von Tastatur-Aufzeichnung bis hin zu Datei-Transfers.

Microsoft-Dilemma: Schutz ohne Patch

Bereits im September 2024 meldete das Sicherheitsunternehmen Trend Micro die Schwachstelle an Microsoft. Das Urteil aus Redmond: Die Lücke rechtfertige keinen sofortigen Patch. Stattdessen setzt der Konzern auf seine Sicherheitslösungen wie Windows Defender und Smart App Control.

“Microsoft Defender erkennt und blockiert diese Bedrohung”, betont ein Unternehmenssprecher. Zusätzlich zeige Windows Sicherheitswarnungen bei Dateien aus dem Internet an. Doch diese Strategie birgt Risiken: Die Verantwortung liegt bei den Nutzern und Organisationen selbst.

Die Trend Micro Zero Day Initiative veröffentlichte die Schwachstelle im März 2025 – mit einer alarmierenden Warnung: Mindestens elf staatliche Hacker-Gruppen nutzen die Lücke bereits aktiv aus.

Raffinierte Verschleierungstaktik

Die chinesischen Angreifer setzen auf eine besonders clevere Tarnmethode: DLL-Sideloading mit legitimer Software. Sie missbrauchen eine echte, digital signierte Canon-Druckersoftware als Tarnung.

Beim Öffnen der scheinbar harmlosen Canon-Anwendung lädt das System automatisch eine manipulierte DLL-Datei namens “CanonStager”. Diese entschlüsselt und startet die PlugX-Malware direkt im Arbeitsspeicher – völlig unsichtbar für herkömmliche Virenscanner.

Arctic Wolf Labs, die die Kampagne aufdeckten, beobachteten eine beunruhigende Entwicklung: Die Angreifer optimieren kontinuierlich ihre Werkzeuge. Der CanonStager-Loader schrumpfte zwischen September und Oktober 2025 von 700 KB auf nur noch 4 KB – und hinterlässt damit kaum noch forensische Spuren.

Wettlauf gegen die Zeit

Die Geschwindigkeit beunruhigt Sicherheitsexperten: UNC6384 integrierte die Schwachstelle binnen sechs Monaten nach der öffentlichen Enthüllung in ihre Angriffe. Ein Paradebeispiel dafür, wie schnell Cyberkriminelle öffentlich bekannte Lücken ausnutzen.

Die Zielauswahl ist dabei kein Zufall. Europäische Diplomaten und Regierungsstellen stehen im Fokus chinesischer Spionageinteressen. Die erbeuteten Informationen dürften direkt an Pekings strategische Planungen weiterfließen.

Abwehr ohne Patch: Was jetzt zu tun ist

Bis Microsoft endlich einen Patch bereitstellt, bleibt Organisationen nur die mehrstufige Verteidigung:

Mitarbeiter-Schulungen stehen an erster Stelle. Verdächtige E-Mails und unbekannte Anhänge sollten grundsätzlich gemieden werden. Endpoint Detection and Response-Systeme können verdächtige PowerShell-Aktivitäten aufspüren.
Anzeige: Phishing und staatliche Spionage zielen längst nicht mehr nur auf Windows-PCs – oft ist auch das Smartphone das Einfallstor. Viele Android-Nutzer übersehen dabei 5 einfache, aber wirkungsvolle Schutzmaßnahmen. Ein kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking und PayPal auf dem Android‑Gerät besser absichern – ohne teure Zusatz‑Apps. Jetzt kostenloses Android‑Sicherheitspaket sichern
Wo möglich, sollten IT-Abteilungen LNK-Dateien aus unsicheren Quellen blockieren. Security-Teams müssen aktiv nach Kompromittierungs-Indikatoren fahnden, die Firmen wie Arctic Wolf veröffentlichen.

Die anhaltende Ausnutzung dieser Windows-Schwachstelle verdeutlicht ein fundamentales Problem: Staatliche Hacker-Gruppen agieren mit nahezu unbegrenzten Ressourcen, während kritische Sicherheitslücken monatelang ungepatcht bleiben. Ein Wettlauf, den die Verteidiger derzeit nicht gewinnen.

Weitere Artikel zum Thema

• 03.11.25 Uhr - Windows 11: Microsoft integriert Copilot in die
• 03.11.25 Uhr - Windows 11: Kritische Sicherheitslücke wird
• 03.11.25 Uhr - Microsoft beendet nervige Windows-Neustart-Plage
• 03.11.25 Uhr - Agricultural Bank of China PK Aktie: Stark
• 03.11.25 Uhr - Microsoft: Windows-11-Update behebt Zehn-Jahre-Bug

• 03.11.25 Uhr - Windows 11: Microsoft krempelt Startmenü
• 03.11.25 Uhr - Microsoft beendet Windows-10-Support: Kostenlose
• 03.11.25 Uhr - Windows-Schwachstelle: China-Hacker infiltrieren
• 03.11.25 Uhr - Windows Zero-Day: China-Hacker greifen
• 03.11.25 Uhr - Arzneiwirkstoffhersteller warnt vor