Windows Zero-Day: China-Hacker greifen EU-Diplomaten an
Eine kritische Windows-Schwachstelle ermöglicht staatlich gelenkte Angriffe auf europäische Regierungen. Die als CVE-2025-9491 bekannte Lücke bleibt ungepatcht und wird für diplomatische Spionage genutzt.
Microsoft-Schwachstelle ohne Patch: Chinesische Cyber-Spione nutzen eine kritische Sicherheitslücke in Windows für gezielte Angriffe auf europäische Regierungen und diplomatische Einrichtungen. Die als CVE-2025-9491 identifizierte Schwachstelle ermöglicht Fernzugriff auf Systeme – ein Fix lässt weiter auf sich warten.
Die Hackergruppe UNC6384, die den chinesischen Geheimdiensten zugeordnet wird, setzt manipulierte Windows-Verknüpfungsdateien (.LNK) ein, um die PlugX-Schadsoftware zu installieren. Diese ermöglicht den Diebstahl sensibler Daten und die Überwachung ganzer Computersysteme. Besonders brisant: Microsoft weiß seit Monaten von der Schwachstelle, stufte sie jedoch zunächst als nicht kritisch genug ein.
Die Attacken richteten sich bereits im September und Oktober 2025 gegen diplomatische Ziele in Belgien, Ungarn und weiteren EU-Staaten. Experten warnen vor einer neuen Dimension staatlich gelenkter Cyber-Spionage in Europa.
Der perfekte digitale Hinterhalt
Wie ein Uhrwerk läuft die Angriffskette ab: Alles beginnt mit täuschend echten Phishing-E-Mails an ausgewählte Ziele in europäischen Diplomatenzirkeln. Die Nachrichten greifen aktuelle Themen auf – von EU-Kommissionssitzungen bis hin zu NATO-Workshops. Ein Klick auf den eingebetteten Link führt die Opfer zu einer gefälschten Microsoft-Anmeldeseite.
Das Cybersecurity-Unternehmen Arctic Wolf Labs analysierte den Angriffsmechanismus: Nach der vorgetäuschten Anmeldung lädt das System automatisch ein ZIP-Archiv herunter. Darin versteckt sich die weaponisierte LNK-Datei – der Türöffner für die Hacker.
Öffnet das Opfer diese scheinbar harmlose Verknüpfung, aktiviert sich die Schwachstelle CVE-2025-9491. Besonders perfide: Die Sicherheitslücke verschleiert die bösartigen Kommandos so geschickt, dass selbst vorsichtige Nutzer die wahre Absicht der Datei nicht erkennen können.
Tarnung durch Ablenkung
Während im Hintergrund obfuskierte PowerShell-Befehle ihre zerstörerische Arbeit verrichten, zeigt das System dem ahnungslosen Nutzer ein legitimes PDF-Dokument an. Diese Ablenkungstaktik kauft den Angreifern wertvolle Zeit: Der mehrstufige Schadcode installiert über sogenanntes DLL-Side-Loading die PlugX-Schadsoftware.
Das Ergebnis? Die Hacker erhalten dauerhaften Zugriff und vollständige Kontrolle über das kompromittierte System. Ein digitaler Generalschlüssel zu den sensibelsten Staatsgeheimnissen Europas.
Monatelang ignorierte Warnung
Besonders erschreckend: Das Antiviren-Unternehmen Trend Micro meldete CVE-2025-9491 bereits im März 2025 an Microsoft. Die Bewertung des Softwarekonzerns? Nicht kritisch genug für einen Notfall-Patch. Ein Trugschluss, wie sich jetzt zeigt.
Trend Micros damalige Forschung offenbarte bereits, dass verschiedene Cybercrime-Gruppen die Lücke aktiv ausnutzten – darunter Evil Corp, Mustang Panda und SideWinder. Die aktuellen Angriffe von UNC6384 auf europäische Diplomaten bringen die Schwachstelle nun zurück ins Rampenlicht.
Stand heute bleibt CVE-2025-9491 ungepatcht. Windows-Nutzer weltweit sind diesem Angriffsvektor schutzlos ausgeliefert.
LNK-Dateien: Der unterschätzte Angriffspfad
Verknüpfungsdateien gehören zum Windows-Grundgerüst – und genau das macht sie so gefährlich. Als vertraute Systemkomponente überwinden sie mühelos die ersten Sicherheitskontrollen. Ihre Fähigkeit, schädlichen Code auszuführen, während sie als harmlose Dokumente oder Shortcuts getarnt sind, macht sie zum perfekten Social-Engineering-Werkzeug.
Der Fall verdeutlicht eine anhaltende Schwachstelle der Cybersicherheit: die Kluft zwischen Entdeckung und Behebung von Sicherheitslücken. Microsofts Entscheidungsprozess bei der Patch-Priorisierung steht nun in der Kritik.
Notfall-Schutzmaßnahmen ohne Microsoft-Patch
Ohne offiziellen Microsoft-Patch müssen sich Organisationen und Privatnutzer selbst schützen. Ein Microsoft-Sprecher bestätigte lediglich: “Wir schätzen die Arbeit der Forschungsgemeinschaft.” Das Unternehmen rät dazu, die eingebauten Windows-Sicherheitswarnungen beim Öffnen heruntergeladener Dateien zu beachten.
Anzeige: Ohne Patch zählt jeder Handgriff – wer im Notfall ein kompromittiertes Windows-System schnell retten will, sollte vorbereitet sein. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie einen Windows‑11 USB‑Boot‑Stick erstellen und richtig einsetzen – ideal für Reparaturen, Neuinstallation und als Notfall-Stick für defekte oder mit Malware befallene PCs. Sichern Sie sich jetzt die Anleitung und vermeiden Sie typische Fehler. Gratis-Ratgeber „Windows 11 Boot‑Stick“ jetzt sichern
Arctic Wolf Labs empfiehlt Systemadministratoren, Verbindungen zur identifizierten Command-and-Control-Infrastruktur zu blockieren. Zusätzlich sollten Organisationen Richtlinien einführen, die das Ausführen von LNK-Dateien aus nicht vertrauenswürdigen Quellen einschränken oder komplett unterbinden.
Bis Microsoft endlich reagiert, bleiben Benutzerschulung und erhöhte Wachsamkeit die einzigen Verteidigungslinien gegen diese andauernde Zero-Day-Bedrohung.
