Una vulnerabilità di sicurezza non risolta presente in Microsoft Windows è stata sfruttata da 11 gruppi di minaccia sponsorizzati dallo stato, provenienti da Cina, Iran, Corea del Nord e Russia, come parte di campagne di furto di dati, spionaggio e motivazioni finanziarie che risalgono al 2017. Questa vulnerabilità di tipo zero-day, identificata da Trend Micro's Zero Day Initiative (ZDI) come ZDI-CAN-25373, permette agli attori malintenzionati di eseguire comandi dannosi nascosti su un computer vittima utilizzando file di collegamento o collegamento shell di Windows appositamente creati (.LNK).

Gli attacchi sfruttano argomenti nascosti nella riga di comando all'interno dei file .LNK per eseguire payload dannosi, complicando così la rilevazione. I ricercatori di sicurezza hanno rilevato che l'esposizione a ZDI-CAN-25373 espone le organizzazioni a significativi rischi di furto di dati e cyber spionaggio. Questo coinvolge specificamente il riempimento degli argomenti con caratteri di spazio, tabulazione orizzontale, feed di linea, tabulazione verticale, feed di modulo e ritorno a capo per eludere il rilevamento.

Fino ad oggi, sono stati scoperti quasi 1.000 artefatti di file .LNK che sfruttano ZDI-CAN-25373, con la maggior parte dei campioni legati a gruppi come Evil Corp (Water Asena), Kimsuky (Earth Kumiho), Konni (Earth Imp), Bitter (Earth Anansi) e ScarCruft (Earth Manticore). Tra gli 11 attori di minaccia sponsorizzati dallo stato che sono stati trovati a sfruttare il difetto, quasi la metà proviene dalla Corea del Nord. Oltre a sfruttare la vulnerabilità in vari momenti, la scoperta indica una collaborazione interclusale tra i diversi cluster di minaccia che operano all'interno dell'apparato cibernetico di Pyongyang.

I dati di telemetria indicano che governi, entità private, organizzazioni finanziarie, think tank, fornitori di servizi di telecomunicazione e agenzie militari/difensive situate negli Stati Uniti, Canada, Russia, Corea del Sud, Vietnam e Brasile sono diventati i principali bersagli degli attacchi che sfruttano questa vulnerabilità. Negli attacchi analizzati da ZDI, i file .LNK agiscono come veicoli di consegna per famiglie di malware noti come Lumma Stealer, GuLoader e Remcos RAT, tra gli altri.

Microsoft ha classificato il problema come a bassa gravità e non intende rilasciare una correzione. I ricercatori hanno affermato che ZDI-CAN-25373 è un esempio di "User Interface (UI) Misrepresentation of Critical Information (CWE-451)", il che significa che l'interfaccia utente di Windows non è riuscita a presentare all'utente informazioni critiche. Sfruttando ZDI-CAN-25373, l'attore di minaccia può impedire all'utente finale di visualizzare informazioni critiche relative alla valutazione del livello di rischio del file.

Microsoft ha indicato che il metodo delineato da ZDI è di utilità pratica limitata per un attaccante e che il codice di scansione del contenuto di Microsoft Defender ha la capacità di scansionare questi file e riconoscere la tecnica per identificare i file dannosi.