Um alerta crítico de segurança foi emitido para todos os usuários do Windows, após pesquisadores da Arctic Wolf Labs descobrirem que um grupo de hackers ligado ao governo chinês está explorando ativamente uma vulnerabilidade zero-day — identificada como CVE-2025-9491 — ainda sem correção oficial.
O ataque, que utiliza arquivos de atalho .LNK maliciosos, tem como alvo diplomatas e agências governamentais europeias, e busca instalar o malware PlugX, uma ferramenta de espionagem amplamente usada em operações de ciberinteligência.
A falha é considerada de alta gravidade, pois permite execução remota de código e o roubo de informações sensíveis apenas com a abertura de um atalho contaminado. Neste artigo, explicamos o que se sabe sobre a CVE-2025-9491, quem está por trás dos ataques e, principalmente, o que você pode fazer para se proteger enquanto a Microsoft não lança uma correção oficial.
O que é a vulnerabilidade CVE-2025-9491
A CVE-2025-9491 é uma vulnerabilidade zero-day que afeta o modo como o Windows processa arquivos .LNK, os tradicionais atalhos do sistema usados para abrir programas ou pastas.
Um zero-day é uma falha explorada por cibercriminosos antes que o desenvolvedor tenha conhecimento e possa corrigi-la — o que torna esse tipo de ameaça extremamente perigoso.
No caso da CVE-2025-9491, a falha permite que código malicioso seja executado automaticamente quando um arquivo .LNK comprometido é aberto, possibilitando que hackers controlem remotamente o dispositivo ou instalem malware furtivo.
Como o ataque funciona na prática
O vetor: E-mails de spearphishing
Os ataques começam com e-mails cuidadosamente direcionados — uma técnica conhecida como spearphishing.
Essas mensagens se passam por comunicações legítimas, como convites para workshops da OTAN ou reuniões da Comissão Europeia, aumentando as chances de enganar o alvo.
Quando o destinatário abre o anexo, é levado a um arquivo .ZIP ou .RAR contendo o atalho malicioso.
A armadilha do arquivo .LNK
O arquivo .LNK é o coração do ataque.
Ele contém comandos ocultos e scripts embutidos que exploram a CVE-2025-9491 assim que o arquivo é aberto ou até mesmo visualizado no explorador de arquivos.
Os hackers inserem comandos maliciosos dentro da estrutura do atalho, utilizando espaços em branco e caracteres invisíveis para disfarçar o código.
Isso torna o ataque extremamente furtivo, passando despercebido por usuários e até por alguns antivírus.
O objetivo: Instalar o malware PlugX
O objetivo final da campanha é implantar o malware PlugX, um RAT (Remote Access Trojan) amplamente usado por grupos de espionagem asiáticos.
O PlugX permite acesso remoto ao sistema infectado, monitoramento de comunicações, extração de documentos confidenciais e até instalação de outros malwares.
Ele é conhecido por sua capacidade de persistir no sistema e se ocultar de mecanismos de detecção, tornando a remoção extremamente difícil.
Quem está por trás dos ataques?
Mustang Panda (UNC6384)
Os ataques foram atribuídos ao grupo Mustang Panda, também conhecido como UNC6384, uma ameaça avançada persistente (APT) associada ao governo chinês.
O Mustang Panda atua desde 2017 e é famoso por campanhas de espionagem direcionadas a organizações governamentais, ONGs e instituições diplomáticas.
Seu foco atual parece estar em coletar informações estratégicas sobre relações exteriores e segurança europeia.
Os alvos: De diplomatas na Hungria a agências sérvias
Segundo o relatório da Arctic Wolf Labs, os alvos identificados incluem diplomatas e funcionários de governos na Hungria, Bélgica, Itália, Holanda e Sérvia.
As evidências sugerem que o grupo está ampliando seu escopo de ataque, explorando redes diplomáticas e infraestruturas críticas em toda a Europa.
A Microsoft já corrigiu esta falha? (A resposta é preocupante)
Até o momento, não existe uma correção oficial (patch) para a CVE-2025-9491.
A Microsoft foi notificada sobre a falha, mas, segundo fontes como o BleepingComputer, a empresa ainda não priorizou uma atualização imediata.
Curiosamente, a Trend Micro já havia relatado a vulnerabilidade em março de 2025, quando ela estava sendo explorada por outros 11 grupos diferentes, incluindo Evil Corp e Konni.
Na época, a Microsoft afirmou que “consideraria corrigir o problema”, mas que a falha não atendia aos critérios para correção imediata — uma decisão agora vista com preocupação pela comunidade de segurança.
Essa demora cria uma janela perigosa em que hackers continuam explorando ativamente a falha, enquanto usuários e empresas permanecem vulneráveis.
Como se proteger do CVE-2025-9491 agora
Enquanto a Microsoft não lança uma correção oficial, há medidas que podem reduzir significativamente o risco de infecção.
Mitigações recomendadas (para administradores)
Os especialistas da Arctic Wolf Labs recomendam:
- Restringir o uso de arquivos .LNK em ambientes corporativos sempre que possível.
- Bloquear o recebimento e execução de arquivos de atalho por e-mail ou em pastas compartilhadas.
- Monitorar logs de execução de scripts e PowerShell, em busca de comportamentos suspeitos.
- Implementar bloqueios de IoCs (indicadores de comprometimento) e endereços de C2 (comando e controle) identificados pelos pesquisadores.
- Reforçar políticas de segurança de e-mail, com filtros anti-phishing avançados.
O que o usuário comum pode fazer?
Mesmo sem acesso a ferramentas corporativas, há medidas eficazes que qualquer usuário pode tomar:
- Desconfie de e-mails inesperados, especialmente os que incluem anexos ou links, mesmo que pareçam legítimos.
- Evite abrir arquivos .LNK recebidos por e-mail ou baixados da internet.
- Ative a exibição de extensões de arquivo no Windows para identificar atalhos disfarçados.
- Mantenha o antivírus atualizado, pois muitos já conseguem bloquear o payload PlugX mesmo que a vulnerabilidade seja explorada.
- Faça backups regulares e desconecte-os da rede para evitar perda de dados em caso de infecção.
Conclusão: O impacto de um zero-day explorado ativamente
A CVE-2025-9491 é mais um lembrete de que ameaças de espionagem digital estão evoluindo rapidamente — e que nem sempre podemos contar com uma correção imediata do fornecedor.
Enquanto o Mustang Panda continua explorando a falha em campanhas direcionadas, usuários e administradores precisam agir de forma proativa, fortalecendo suas defesas e redobrando a cautela com e-mails e anexos suspeitos.
Fique atento às próximas atualizações da Microsoft, especialmente a próxima Patch Tuesday, e nunca abra atalhos de origem desconhecida.
Você já encontrou algum arquivo .LNK suspeito recentemente? Compartilhe sua experiência nos comentários e ajude a conscientizar outros usuários sobre essa ameaça em andamento.
