A operação, decorrida entre setembro e outubro de 2025, explorou uma vulnerabilidade grave e ainda não corrigida no Windows para instalar malware e roubar dados sensíveis.

A campanha utilizou emails de 'spear phishing' com temas diplomáticos para persuadir os alvos a abrir ficheiros de atalho (.LNK) maliciosos.

Estes ficheiros exploram uma falha no processamento da interface gráfica do Windows, catalogada como CVE-2025-9491, que permite a execução de comandos escondidos.

Esta vulnerabilidade é conhecida desde 2017 e foi formalmente comunicada pela Trend Micro em setembro de 2024, mas a Microsoft ainda não lançou uma correção, possivelmente devido ao impacto que uma atualização teria em aplicações mais antigas. O ataque culmina na instalação do PlugX, um trojan de acesso remoto (RAT) ativo desde 2008, que cria uma porta de entrada nos sistemas das vítimas.

A mesma falha já foi explorada por outros grupos apoiados por estados como a Coreia do Norte, Irão e Rússia.

A rápida adoção desta vulnerabilidade pelo grupo UNC6384 demonstra capacidades técnicas avançadas e o acesso a recursos significativos, indicando uma operação de recolha de informação altamente coordenada.