A campanha evidencia a persistência de ameaças patrocinadas por Estados e os riscos associados a falhas de segurança de longa data.

A operação, que decorreu entre setembro e outubro de 2025, visou diplomatas da Hungria, Bélgica, Sérvia, Itália e Países Baixos.

O grupo de atacantes, identificado como UNC6384 e também conhecido como Mustang Panda, utilizou e-mails de 'spear phishing' com temas diplomáticos para enganar os alvos.

As mensagens continham ficheiros de atalho maliciosos do Windows (.LNK) que exploravam uma vulnerabilidade catalogada como CVE-2025-9491.

Esta falha, que reside no processamento da interface gráfica do sistema, permite a execução de comandos ocultos e é conhecida desde 2017.

O ataque culminava na instalação do PlugX, um trojan de acesso remoto (RAT) com um longo historial de utilização em ciberespionagem, que concede aos atacantes controlo sobre os sistemas infetados. Um dos aspetos mais críticos deste incidente é que a vulnerabilidade continua sem uma correção oficial da Microsoft, apesar de ter sido comunicada por empresas de segurança. A ausência de um 'patch' poderá estar relacionada com o potencial impacto negativo em aplicações mais antigas. Esta situação obriga as organizações a adotarem medidas de mitigação, como o bloqueio da execução de ficheiros .LNK, e demonstra a rapidez com que atores estatais avançados conseguem operacionalizar falhas publicamente conhecidas para operações de recolha de informação altamente coordenadas.