Microsoft незаметно устранила критическую уязвимость в Windows, связанную с файлами ярлыков, которая долгое время использовалась в целях шпионажа и киберпреступности.
Уязвимость, зафиксированная как CVE-2025-9491, позволяет злоумышленникам скрывать вредоносные командные аргументы в файлах ярлыков .lnk, что позволяет выполнять скрытый код при открытии ярлыка жертвой.
Исследователи из Trend Micro сообщили в марте, что почти тысяча вредоносных образцов .lnk, начиная с 2017 года, использовали эту уязвимость в рамках различных кампаний, организованных как государственными структурами, так и киберпреступниками по всему миру. «Наш анализ показал, что 11 государственных группировок из Северной Кореи, Ирана, России и Китая использовали ZDI-CAN-25373 в операциях, в основном мотивированных кибершпионажем и кражей данных», — заявили они в то время.
Хитрость заключается в простоте: вредоносные команды дополняются пробелами (или другими непечатаемыми символами), чтобы при просмотре свойств ярлыка в Windows поле «Цель» отображалось как безвредное — пустым или заканчивающимся на безобидные бинарные файлы — тем самым скрывая вредоносные полезные нагрузки.
Первоначальные попытки Trend Micro’s Zero Day Initiative (ZDI) добиться исправления уязвимости были отклонены Microsoft, которая утверждала, что уязвимость имеет «низкий уровень серьезности» и не соответствует критериям для обновления.
Но окно самоуспокоенности закрылось. По словам специалистов по патчам из 0patch, Microsoft выпустила «тихое исправление» в составе пакета обновлений Patch Tuesday за ноябрь 2025 года. После установки диалоговое окно «Свойства» в Windows теперь отображает полную команду, нейтрализуя трюк с маскировкой, на который полагались злоумышленники.
Время исправления непостижимо. В октябре исследователи из Arctic Wolf Labs сообщили, что шпионская группа, связанная с Китаем, известная как UNC6384 или «Mustang Panda», использовала CVE-2025-9491 в целенаправленной кампании против европейских дипломатических учреждений в Венгрии, Бельгии, Италии, Сербии и Нидерландах.
Цепочка атак начиналась с фишинговых писем, маскирующихся под приглашения на семинары НАТО или Европейской комиссии. Когда получатель открывал, казалось бы, безвредный ярлык, скрытые команды запускали замаскированные сценарии PowerShell, которые загружали многоэтапную полезную нагрузку, завершающуюся установкой удаленного трояна PlugX с помощью DLL sideloading законных, подписанных бинарных файлов. Это давало нападавшим постоянный и скрытный доступ к скомпрометированным системам.
Эта кампания подчеркивает, насколько ценным стал формат LNK для злоумышленников: короткие, кажущиеся безвредными файлы, которые обходят многие фильтры для вложений электронной почты, но при этом способны выполнять полное удаленное выполнение кода с помощью социальной инженерии.
Для специалистов по защите Microsoft’s mitigation не означает, что риск исчез. Многолетняя история эксплуатации говорит о том, что многие системы могут оставаться скомпрометированными — и пока все затронутые Windows-машины не получат обновление, этот прием остается опасным в реальных условиях. ®
Автор – Carly Page
