Un’importante vulnerabilità non corretta in Microsoft Windows è attivamente sfruttata da almeno 11 gruppi APT (Advanced Persistent Threat) sponsorizzati da stati come Cina, Iran, Corea del Nord e Russia. Secondo i ricercatori di Trend Micro Zero Day Initiative (ZDI), la falla, tracciata come ZDI-CAN-25373, consente l’esecuzione di comandi dannosi nascosti sfruttando file di collegamento di Windows (.LNK).
Microsoft ha classificato il problema come a bassa gravità e ha deciso di non rilasciare una patch, aumentando i rischi per governi, istituzioni finanziarie, aziende private e agenzie di difesa di Stati Uniti, Canada, Russia, Corea del Sud, Vietnam e Brasile.
Metodo di attacco e i gruppi coinvolti
L’exploit sfrutta file .LNK modificati con caratteri speciali per nascondere comandi dannosi. Le analisi hanno individuato quasi 1.000 file infetti, utilizzati per distribuire malware come Lumma Stealer, GuLoader, Remcos RAT e il temuto Raspberry Robin, particolarmente diffuso nei cyberattacchi recenti.
Tra i gruppi di minaccia identificati ci sono:
- Evil Corp (Water Asena) – cybercriminali legati alla Russia.
- Kimsuky (Earth Kumiho) – APT nordcoreano specializzato in spionaggio.
- Konni (Earth Imp) – gruppo noto per attacchi a infrastrutture critiche.
- Bitter (Earth Anansi) – attivo nell’Asia meridionale.
- ScarCruft (Earth Manticore) – APT nordcoreano con focus su obiettivi militari e diplomatici.
Secondo gli esperti, almeno la metà degli attacchi è riconducibile alla Corea del Nord, evidenziando una possibile collaborazione tra diversi gruppi di hacker legati al governo di Pyongyang.
Microsoft non rilascerà una patch: i rischi per gli utenti
Microsoft ha classificato ZDI-CAN-25373 come un caso di User Interface (UI) Misrepresentation of Critical Information (CWE-451), affermando che il problema non giustifica un aggiornamento di sicurezza.
Tuttavia, secondo Trend Micro, la vulnerabilità è estremamente pericolosa perché impedisce agli utenti di vedere i comandi dannosi in esecuzione, aumentando il rischio di infezioni.
Misure di sicurezza per mitigare l’attacco
Senza una patch ufficiale, gli esperti di cybersecurity consigliano di:
- Evitare di aprire file .LNK sospetti ricevuti tramite email o download non verificati.
- Monitorare le attività di rete per identificare eventuali comunicazioni anomale.
- Utilizzare soluzioni di sicurezza avanzate per rilevare e bloccare comportamenti sospetti legati a file di collegamento modificati.
- Applicare restrizioni di accesso sui file .LNK in ambienti sensibili.
L’assenza di una correzione ufficiale da parte di Microsoft lascia questa vulnerabilità attivamente sfruttabile, aumentando il rischio di furto di dati, spionaggio e attacchi informatici mirati.