Một lỗ hổng bảo mật chưa được vá trên Microsoft Windows đã bị 11 nhóm tấn công có tài trợ từ nhà nước của Trung Quốc, Iran, Triều Tiên và Nga lợi dụng để thực hiện các chiến dịch gián điệp mạng và đánh cắp dữ liệu từ năm 2017.
Lỗ hổng này, được Trend Micro’s Zero Day Initiative (ZDI) theo dõi với mã định danh ZDI-CAN-25373, cho phép kẻ tấn công thực thi lệnh độc hại ẩn trên hệ thống nạn nhân thông qua các tập tin Windows Shortcut (.LNK). Phương thức khai thác này lợi dụng các ký tự khoảng trắng đặc biệt để lẩn tránh hệ thống phát hiện, gây ra rủi ro nghiêm trọng về bảo mật.
Tính đến nay, gần 1.000 mẫu tệp .LNK khai thác lỗ hổng này đã được phát hiện, với sự tham gia của các nhóm APT lớn như Evil Corp, Kimsuky, Konni, Bitter và ScarCruft. Gần một nửa số nhóm này đến từ Triều Tiên, cho thấy sự hợp tác giữa các nhóm tấn công trong hệ sinh thái mạng của quốc gia này. Các mục tiêu chính của chiến dịch bao gồm chính phủ, doanh nghiệp tài chính, tổ chức nghiên cứu và cơ quan quân sự tại Mỹ, Canada, Nga, Hàn Quốc, Việt Nam và Brazil.
Trong các cuộc tấn công được phân tích, tập tin .LNK được sử dụng để phát tán nhiều loại mã độc nguy hiểm như Lumma Stealer, GuLoader, Remcos RAT, và đặc biệt là Raspberry Robin do Evil Corp khai thác.
Microsoft đã phân loại lỗ hổng này ở mức độ nghiêm trọng thấp và không có kế hoạch phát hành bản vá. Tuy nhiên, Microsoft Defender đã có cơ chế phát hiện mối đe dọa này, và Smart App Control cung cấp một lớp bảo vệ bổ sung bằng cách ngăn chặn các tệp độc hại từ Internet. Hãng cũng cảnh báo người dùng hạn chế mở tệp từ nguồn không rõ ràng, đặc biệt là các tập tin .LNK, vì chúng có thể bị lợi dụng để thực thi mã độc mà không có cảnh báo rõ ràng.
