#plugx — Public Fediverse posts

Donuts and Beagles: Fake Claude site spreads backdoor

A fraudulent website impersonating Anthropic's Claude AI platform has been distributing a previously undocumented backdoor called Beagle through malvertising campaigns. The attack begins when victims download a fictitious tool named Claude-Pro Relay from claude-pro[.]com, delivered as a 505 MB ZIP archive. The infection chain utilizes DLL sideloading, exploiting a signed G DATA antivirus updater to load malicious code. The technique mirrors PlugX delivery methods but deploys different payloads. Beagle supports eight commands including shell execution, file transfer, and directory listing, communicating with C2 servers using AES encryption. Related samples dating to February 2026 have been identified, with some variants delivering AdaptixC2 framework. Additional domains impersonated security vendors like Trellix, CrowdStrike, and SentinelOne. The infrastructure spans Cloudflare for distribution and Alibaba Cloud for command and control.

Pulse ID: 69fcc63f1dce161fc2f8380c
Pulse Link: https://otx.alienvault.com/pulse/69fcc63f1dce161fc2f8380c
Pulse Author: AlienVault
Created: 2026-05-07 17:05:03

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#BackDoor #Cloud #CrowdStrike #CyberSecurity #Encryption #InfoSec #Malvertising #OTX #OpenThreatExchange #PlugX #SentinelOne #SideLoading #Trellix #ZIP #bot #AlienVault

Donuts and Beagles: Fake Claude site spreads backdoor

A fraudulent website impersonating Anthropic's Claude AI platform has been distributing a previously undocumented backdoor called Beagle through malvertising campaigns. The attack begins when victims download a fictitious tool named Claude-Pro Relay from claude-pro[.]com, delivered as a 505 MB ZIP archive. The infection chain utilizes DLL sideloading, exploiting a signed G DATA antivirus updater to load malicious code. The technique mirrors PlugX delivery methods but deploys different payloads. Beagle supports eight commands including shell execution, file transfer, and directory listing, communicating with C2 servers using AES encryption. Related samples dating to February 2026 have been identified, with some variants delivering AdaptixC2 framework. Additional domains impersonated security vendors like Trellix, CrowdStrike, and SentinelOne. The infrastructure spans Cloudflare for distribution and Alibaba Cloud for command and control.

Pulse ID: 69fcc63f1dce161fc2f8380c
Pulse Link: https://otx.alienvault.com/pulse/69fcc63f1dce161fc2f8380c
Pulse Author: AlienVault
Created: 2026-05-07 17:05:03

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#BackDoor #Cloud #CrowdStrike #CyberSecurity #Encryption #InfoSec #Malvertising #OTX #OpenThreatExchange #PlugX #SentinelOne #SideLoading #Trellix #ZIP #bot #AlienVault

Donuts and Beagles: Fake Claude site spreads backdoor

A fraudulent website impersonating Anthropic's Claude AI platform has been distributing a previously undocumented backdoor called Beagle through malvertising campaigns. The attack begins when victims download a fictitious tool named Claude-Pro Relay from claude-pro[.]com, delivered as a 505 MB ZIP archive. The infection chain utilizes DLL sideloading, exploiting a signed G DATA antivirus updater to load malicious code. The technique mirrors PlugX delivery methods but deploys different payloads. Beagle supports eight commands including shell execution, file transfer, and directory listing, communicating with C2 servers using AES encryption. Related samples dating to February 2026 have been identified, with some variants delivering AdaptixC2 framework. Additional domains impersonated security vendors like Trellix, CrowdStrike, and SentinelOne. The infrastructure spans Cloudflare for distribution and Alibaba Cloud for command and control.

Pulse ID: 69fcc63f1dce161fc2f8380c
Pulse Link: https://otx.alienvault.com/pulse/69fcc63f1dce161fc2f8380c
Pulse Author: AlienVault
Created: 2026-05-07 17:05:03

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#BackDoor #Cloud #CrowdStrike #CyberSecurity #Encryption #InfoSec #Malvertising #OTX #OpenThreatExchange #PlugX #SentinelOne #SideLoading #Trellix #ZIP #bot #AlienVault

Donuts and Beagles: Fake Claude site spreads backdoor

A fraudulent website impersonating Anthropic's Claude AI platform has been distributing a previously undocumented backdoor called Beagle through malvertising campaigns. The attack begins when victims download a fictitious tool named Claude-Pro Relay from claude-pro[.]com, delivered as a 505 MB ZIP archive. The infection chain utilizes DLL sideloading, exploiting a signed G DATA antivirus updater to load malicious code. The technique mirrors PlugX delivery methods but deploys different payloads. Beagle supports eight commands including shell execution, file transfer, and directory listing, communicating with C2 servers using AES encryption. Related samples dating to February 2026 have been identified, with some variants delivering AdaptixC2 framework. Additional domains impersonated security vendors like Trellix, CrowdStrike, and SentinelOne. The infrastructure spans Cloudflare for distribution and Alibaba Cloud for command and control.

Pulse ID: 69fcc63f1dce161fc2f8380c
Pulse Link: https://otx.alienvault.com/pulse/69fcc63f1dce161fc2f8380c
Pulse Author: AlienVault
Created: 2026-05-07 17:05:03

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#BackDoor #Cloud #CrowdStrike #CyberSecurity #Encryption #InfoSec #Malvertising #OTX #OpenThreatExchange #PlugX #SentinelOne #SideLoading #Trellix #ZIP #bot #AlienVault

Donuts and Beagles: Fake Claude site spreads backdoor

A fraudulent website impersonating Anthropic's Claude AI platform has been distributing a previously undocumented backdoor called Beagle through malvertising campaigns. The attack begins when victims download a fictitious tool named Claude-Pro Relay from claude-pro[.]com, delivered as a 505 MB ZIP archive. The infection chain utilizes DLL sideloading, exploiting a signed G DATA antivirus updater to load malicious code. The technique mirrors PlugX delivery methods but deploys different payloads. Beagle supports eight commands including shell execution, file transfer, and directory listing, communicating with C2 servers using AES encryption. Related samples dating to February 2026 have been identified, with some variants delivering AdaptixC2 framework. Additional domains impersonated security vendors like Trellix, CrowdStrike, and SentinelOne. The infrastructure spans Cloudflare for distribution and Alibaba Cloud for command and control.

Pulse ID: 69fcc63f1dce161fc2f8380c
Pulse Link: https://otx.alienvault.com/pulse/69fcc63f1dce161fc2f8380c
Pulse Author: AlienVault
Created: 2026-05-07 17:05:03

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#BackDoor #Cloud #CrowdStrike #CyberSecurity #Encryption #InfoSec #Malvertising #OTX #OpenThreatExchange #PlugX #SentinelOne #SideLoading #Trellix #ZIP #bot #AlienVault

Life is full of paradoxes. We spend countless time discussing threat actors using AI and in 2026 some are still relying on PlugX.

#plugx #cybersecurity #threatintel

Life is full of paradoxes. We spend countless time discussing threat actors using AI and in 2026 some are still relying on PlugX.

#plugx #cybersecurity #threatintel

Life is full of paradoxes. We spend countless time discussing threat actors using AI and in 2026 some are still relying on PlugX.

#plugx #cybersecurity #threatintel

Life is full of paradoxes. We spend countless time discussing threat actors using AI and in 2026 some are still relying on PlugX.

#plugx #cybersecurity #threatintel

Life is full of paradoxes. We spend countless time discussing threat actors using AI and in 2026 some are still relying on PlugX.

#plugx #cybersecurity #threatintel

Fake Claude AI installer mimicking Anthropic spreads PlugX RAT on Windows, using DLL sideloading to gain persistent remote access to infected systems.

Read: https://hackread.com/fake-claude-ai-installer-plugx-malware-windows-users/

#CyberSecurity #ClaudeAI #Windows #PlugX #Malware

Fake Claude AI installer mimicking Anthropic spreads PlugX RAT on Windows, using DLL sideloading to gain persistent remote access to infected systems.

Read: https://hackread.com/fake-claude-ai-installer-plugx-malware-windows-users/

#CyberSecurity #ClaudeAI #Windows #PlugX #Malware

Fake Claude AI installer mimicking Anthropic spreads PlugX RAT on Windows, using DLL sideloading to gain persistent remote access to infected systems.

Read: https://hackread.com/fake-claude-ai-installer-plugx-malware-windows-users/

#CyberSecurity #ClaudeAI #Windows #PlugX #Malware

Fake Claude AI installer mimicking Anthropic spreads PlugX RAT on Windows, using DLL sideloading to gain persistent remote access to infected systems.

Read: https://hackread.com/fake-claude-ai-installer-plugx-malware-windows-users/

#CyberSecurity #ClaudeAI #Windows #PlugX #Malware

Fake Claude AI installer mimicking Anthropic spreads PlugX RAT on Windows, using DLL sideloading to gain persistent remote access to infected systems.

Read: https://hackread.com/fake-claude-ai-installer-plugx-malware-windows-users/

#CyberSecurity #ClaudeAI #Windows #PlugX #Malware

Cuidado: Sitio web falso de Claude distribuye el malware PlugX RAT

Investigadores de seguridad han alertado sobre una campaña de phishing que utiliza un sitio web fraudulento de la IA «Claude» para infectar computadoras con el troyano de acceso remoto PlugX, permitiendo el control total del equipo (Fuente Malwarebytes).

La popularidad de la inteligencia artificial está siendo explotada nuevamente por cibercriminales. Se ha detectado un sitio web que imita a la perfección la interfaz de Claude (la IA de Anthropic) para engañar a los usuarios y lograr que descarguen un archivo ejecutable malicioso. En lugar de ofrecer herramientas de IA, el instalador despliega una variante del conocido troyano de acceso remoto (RAT) denominado PlugX. Una vez instalado, este malware permite a los atacantes robar credenciales, registrar las pulsaciones del teclado (keylogging), acceder a archivos privados y utilizar la cámara o el micrófono del dispositivo infectado sin el consentimiento del usuario.

El método de distribución suele basarse en anuncios engañosos en motores de búsqueda o publicaciones en redes sociales que prometen «versiones de escritorio premium» o «funciones gratuitas ilimitadas» de Claude. El malware utiliza técnicas de carga lateral de DLL (DLL side-loading) para evadir los antivirus convencionales, ocultándose dentro de procesos legítimos del sistema operativo. Esta táctica es común entre grupos de amenazas persistentes avanzadas (APT) y subraya la sofisticación de los ataques dirigidos a usuarios que buscan herramientas de productividad basadas en inteligencia artificial.

Expertos en ciberseguridad recomiendan a los usuarios acceder a Claude y otras plataformas de IA exclusivamente a través de sus dominios oficiales verificados. Es vital desconfiar de instaladores de escritorio que no provengan de tiendas oficiales como la Mac App Store o Microsoft Store, y mantener siempre activadas las soluciones de seguridad con protección en tiempo real. Este incidente es un recordatorio de que, en el auge de la IA, el sentido común y la verificación de las fuentes siguen siendo las defensas más efectivas contra el secuestro digital de datos.

I’d come running back to EU again: TA416 resumes European government espionage campaigns
#TA416 #PlugX #UNK_SteadySplit
https://www.proofpoint.com/us/blog/threat-insight/id-come-running-back-eu-again-ta416-resumes-european-government-espionage

I’d come running back to EU again: TA416 resumes European government espionage campaigns
#TA416 #PlugX #UNK_SteadySplit
https://www.proofpoint.com/us/blog/threat-insight/id-come-running-back-eu-again-ta416-resumes-european-government-espionage

I’d come running back to EU again: TA416 resumes European government espionage campaigns
#TA416 #PlugX #UNK_SteadySplit
https://www.proofpoint.com/us/blog/threat-insight/id-come-running-back-eu-again-ta416-resumes-european-government-espionage

I’d come running back to EU again: TA416 resumes European government espionage campaigns
#TA416 #PlugX #UNK_SteadySplit
https://www.proofpoint.com/us/blog/threat-insight/id-come-running-back-eu-again-ta416-resumes-european-government-espionage

I’d come running back to EU again: TA416 resumes European government espionage campaigns
#TA416 #PlugX #UNK_SteadySplit
https://www.proofpoint.com/us/blog/threat-insight/id-come-running-back-eu-again-ta416-resumes-european-government-espionage

China-linked hackers targeted #Qatar using fake war news to spread PlugX backdoors and launch cyber-espionage attacks on military and energy sectors.

https://hackread.com/china-hackers-qatar-backdoor-fake-war-news/

#CyberSecurity #China #PlugX #CyberAttack #Malware

China-linked hackers targeted #Qatar using fake war news to spread PlugX backdoors and launch cyber-espionage attacks on military and energy sectors.

https://hackread.com/china-hackers-qatar-backdoor-fake-war-news/

#CyberSecurity #China #PlugX #CyberAttack #Malware

China-linked hackers targeted #Qatar using fake war news to spread PlugX backdoors and launch cyber-espionage attacks on military and energy sectors.

https://hackread.com/china-hackers-qatar-backdoor-fake-war-news/

#CyberSecurity #China #PlugX #CyberAttack #Malware

China-linked hackers targeted #Qatar using fake war news to spread PlugX backdoors and launch cyber-espionage attacks on military and energy sectors.

https://hackread.com/china-hackers-qatar-backdoor-fake-war-news/

#CyberSecurity #China #PlugX #CyberAttack #Malware

China-linked hackers targeted #Qatar using fake war news to spread PlugX backdoors and launch cyber-espionage attacks on military and energy sectors.

https://hackread.com/china-hackers-qatar-backdoor-fake-war-news/

#CyberSecurity #China #PlugX #CyberAttack #Malware

#plugx targeting VN "evv.msi" -> famisu[.]com e0058681fabb8e49ec780fdd78ec01fd

#plugx targeting VN "evv.msi" -> famisu[.]com e0058681fabb8e49ec780fdd78ec01fd

#plugx targeting VN "evv.msi" -> famisu[.]com e0058681fabb8e49ec780fdd78ec01fd

#plugx targeting VN "evv.msi" -> famisu[.]com e0058681fabb8e49ec780fdd78ec01fd

#plugx targeting VN "evv.msi" -> famisu[.]com e0058681fabb8e49ec780fdd78ec01fd

Grupos Chinos explotan vulnerabilidades en Ivanti para desplegar malware MetaRAT https://blog.elhacker.net/2025/12/grupos-chinos-explotan-vulnerabilidades-ivanti-malware-metarat.html #vulnerabilidad #ciberataque #Malware #metarat #ivanti #china #plugx

Grupos Chinos explotan vulnerabilidades en Ivanti para desplegar malware MetaRAT https://blog.elhacker.net/2025/12/grupos-chinos-explotan-vulnerabilidades-ivanti-malware-metarat.html #vulnerabilidad #ciberataque #Malware #metarat #ivanti #china #plugx

Grupos Chinos explotan vulnerabilidades en Ivanti para desplegar malware MetaRAT https://blog.elhacker.net/2025/12/grupos-chinos-explotan-vulnerabilidades-ivanti-malware-metarat.html #vulnerabilidad #ciberataque #Malware #metarat #ivanti #china #plugx

Grupos Chinos explotan vulnerabilidades en Ivanti para desplegar malware MetaRAT https://blog.elhacker.net/2025/12/grupos-chinos-explotan-vulnerabilidades-ivanti-malware-metarat.html #vulnerabilidad #ciberataque #Malware #metarat #ivanti #china #plugx

📰 China-Backed Group Exploits Unpatched Windows Flaw to Spy on EU Diplomats

⚠️ China-linked hackers (UNC6384) exploit unpatched Windows flaw CVE-2025-9491 to spy on EU diplomats. Attacks use malicious LNK files to deploy PlugX RAT. Microsoft has declined to patch the vulnerability. #CyberEspionage #ZeroDay #PlugX

🔗 https://cyber.netsecops.io/articles/china-linked-unc6384-exploits-unpatched-windows-flaw-to-spy-on-european-diplomats/?utm_source=mastodon&utm_medium=socia…

📰 China-Backed Group Exploits Unpatched Windows Flaw to Spy on EU Diplomats

⚠️ China-linked hackers (UNC6384) exploit unpatched Windows flaw CVE-2025-9491 to spy on EU diplomats. Attacks use malicious LNK files to deploy PlugX RAT. Microsoft has declined to patch the vulnerability. #CyberEspionage #ZeroDay #PlugX

🔗 https://cyber.netsecops.io/articles/china-linked-unc6384-exploits-unpatched-windows-flaw-to-spy-on-european-diplomats/?utm_source=mastodon&utm_medium=socia…

Dwie groźne luki w Windows aktywnie wykorzystywane. Jedna to 8-letni zero-day bez łatki

Badacze bezpieczeństwa biją na alarm w sprawie dwóch poważnych luk w systemie Windows, które są obecnie aktywnie i na szeroką skalę wykorzystywane w atakach.

Jak donosi serwis ArsTechnica, jedna z luk to krytyczna podatność, którą Microsoft niedawno próbował nieudolnie załatać. Druga to zero-day, który był wykorzystywany przez grupy hakerskie powiązane z rządami od co najmniej… 2017 roku i do dziś nie ma na to stosownej poprawki!

Groźniejsza i bardziej niepokojąca jest podatność zero-day, śledzona obecnie jako CVE-2025-9491. To błąd w obsłudze formatu skrótów Windows (.lnk). Luka została publicznie ujawniona w marcu 2025 roku przez Trend Micro, które odkryło, że była ona aktywnie wykorzystywana przez co najmniej 11 różnych grup hakerskich (APT) od 2017 roku do instalowania trojanów i oprogramowania szpiegującego. Mimo że od odkrycia minęło siedem miesięcy, Microsoft wciąż nie wydał na nią oficjalnej łaty bezpieczeństwa.

W ostatnich dniach firma Arctic Wolf zgłosiła nową, zmasowaną kampanię wykorzystującą właśnie tę lukę. Atakujący, prawdopodobnie powiązani z Chinami, używają jej do infekowania celów w Europie popularnym trojanem zdalnego dostępu (RAT) o nazwie PlugX. Z powodu braku łatki, jedyną skuteczną metodą obrony jest ręczne blokowanie lub ograniczanie przez administratorów użycia plików .lnk z niezaufanych źródeł.

Druga aktywnie wykorzystywana podatność to CVE-2025-59287, krytyczna (9.8/10) luka w usłudze Windows Server Update Services (WSUS), czyli narzędziu, którego administratorzy używają do zarządzania aktualizacjami w firmach. Błąd ten umożliwia zdalne wykonanie kodu (RCE) i jest potencjalnie zdolny do samodzielnego rozprzestrzeniania się w sieci.

Problem w tym, że Microsoft próbował załatać tę dziurę podczas październikowego „Patch Tuesday”, ale zrobił to nieskutecznie. Publicznie dostępny kod (PoC) szybko udowodnił, że poprawka jest niekompletna. Hakerzy natychmiast to wykorzystali. Firmy bezpieczeństwa, jak Huntress i Sophos, potwierdziły, że obserwują masowe ataki na serwery WSUS od 23-24 października. Microsoft był zmuszony do wydania drugiej, awaryjnej łatki poza standardowym harmonogramem, aby ostatecznie zamknąć dziurę.

Administratorzy systemów Windows powinni natychmiast zweryfikować, czy ich serwery WSUS mają zainstalowaną drugą, poprawną aktualizację. W przypadku luki zero-day w plikach .lnk, zarówno administratorzy, jak i zwykli użytkownicy, muszą zachować szczególną ostrożność i czekać na ruch ze strony Microsoftu, który do tej pory nie podał daty wydania poprawki.

Koniec z technicznym bełkotem. Aktualizacje Windows 11 będą bardziej zrozumiałe

#0Day #ArsTechnica #CVE202559287 #CVE20259491 #cyberbezpieczeństwo #lukaWZabezpieczeniach #Microsoft #news #PlugX #TrendMicro #windows #WSUS #zeroDay

Dwie groźne luki w Windows aktywnie wykorzystywane. Jedna to 8-letni zero-day bez łatki

Badacze bezpieczeństwa biją na alarm w sprawie dwóch poważnych luk w systemie Windows, które są obecnie aktywnie i na szeroką skalę wykorzystywane w atakach.

Jak donosi serwis ArsTechnica, jedna z luk to krytyczna podatność, którą Microsoft niedawno próbował nieudolnie załatać. Druga to zero-day, który był wykorzystywany przez grupy hakerskie powiązane z rządami od co najmniej… 2017 roku i do dziś nie ma na to stosownej poprawki!

Groźniejsza i bardziej niepokojąca jest podatność zero-day, śledzona obecnie jako CVE-2025-9491. To błąd w obsłudze formatu skrótów Windows (.lnk). Luka została publicznie ujawniona w marcu 2025 roku przez Trend Micro, które odkryło, że była ona aktywnie wykorzystywana przez co najmniej 11 różnych grup hakerskich (APT) od 2017 roku do instalowania trojanów i oprogramowania szpiegującego. Mimo że od odkrycia minęło siedem miesięcy, Microsoft wciąż nie wydał na nią oficjalnej łaty bezpieczeństwa.

W ostatnich dniach firma Arctic Wolf zgłosiła nową, zmasowaną kampanię wykorzystującą właśnie tę lukę. Atakujący, prawdopodobnie powiązani z Chinami, używają jej do infekowania celów w Europie popularnym trojanem zdalnego dostępu (RAT) o nazwie PlugX. Z powodu braku łatki, jedyną skuteczną metodą obrony jest ręczne blokowanie lub ograniczanie przez administratorów użycia plików .lnk z niezaufanych źródeł.

Druga aktywnie wykorzystywana podatność to CVE-2025-59287, krytyczna (9.8/10) luka w usłudze Windows Server Update Services (WSUS), czyli narzędziu, którego administratorzy używają do zarządzania aktualizacjami w firmach. Błąd ten umożliwia zdalne wykonanie kodu (RCE) i jest potencjalnie zdolny do samodzielnego rozprzestrzeniania się w sieci.

Problem w tym, że Microsoft próbował załatać tę dziurę podczas październikowego „Patch Tuesday”, ale zrobił to nieskutecznie. Publicznie dostępny kod (PoC) szybko udowodnił, że poprawka jest niekompletna. Hakerzy natychmiast to wykorzystali. Firmy bezpieczeństwa, jak Huntress i Sophos, potwierdziły, że obserwują masowe ataki na serwery WSUS od 23-24 października. Microsoft był zmuszony do wydania drugiej, awaryjnej łatki poza standardowym harmonogramem, aby ostatecznie zamknąć dziurę.

Administratorzy systemów Windows powinni natychmiast zweryfikować, czy ich serwery WSUS mają zainstalowaną drugą, poprawną aktualizację. W przypadku luki zero-day w plikach .lnk, zarówno administratorzy, jak i zwykli użytkownicy, muszą zachować szczególną ostrożność i czekać na ruch ze strony Microsoftu, który do tej pory nie podał daty wydania poprawki.

Koniec z technicznym bełkotem. Aktualizacje Windows 11 będą bardziej zrozumiałe

#0Day #ArsTechnica #CVE202559287 #CVE20259491 #cyberbezpieczeństwo #lukaWZabezpieczeniach #Microsoft #news #PlugX #TrendMicro #windows #WSUS #zeroDay

Dwie groźne luki w Windows aktywnie wykorzystywane. Jedna to 8-letni zero-day bez łatki

Badacze bezpieczeństwa biją na alarm w sprawie dwóch poważnych luk w systemie Windows, które są obecnie aktywnie i na szeroką skalę wykorzystywane w atakach.

Jak donosi serwis ArsTechnica, jedna z luk to krytyczna podatność, którą Microsoft niedawno próbował nieudolnie załatać. Druga to zero-day, który był wykorzystywany przez grupy hakerskie powiązane z rządami od co najmniej… 2017 roku i do dziś nie ma na to stosownej poprawki!

Groźniejsza i bardziej niepokojąca jest podatność zero-day, śledzona obecnie jako CVE-2025-9491. To błąd w obsłudze formatu skrótów Windows (.lnk). Luka została publicznie ujawniona w marcu 2025 roku przez Trend Micro, które odkryło, że była ona aktywnie wykorzystywana przez co najmniej 11 różnych grup hakerskich (APT) od 2017 roku do instalowania trojanów i oprogramowania szpiegującego. Mimo że od odkrycia minęło siedem miesięcy, Microsoft wciąż nie wydał na nią oficjalnej łaty bezpieczeństwa.

W ostatnich dniach firma Arctic Wolf zgłosiła nową, zmasowaną kampanię wykorzystującą właśnie tę lukę. Atakujący, prawdopodobnie powiązani z Chinami, używają jej do infekowania celów w Europie popularnym trojanem zdalnego dostępu (RAT) o nazwie PlugX. Z powodu braku łatki, jedyną skuteczną metodą obrony jest ręczne blokowanie lub ograniczanie przez administratorów użycia plików .lnk z niezaufanych źródeł.

Druga aktywnie wykorzystywana podatność to CVE-2025-59287, krytyczna (9.8/10) luka w usłudze Windows Server Update Services (WSUS), czyli narzędziu, którego administratorzy używają do zarządzania aktualizacjami w firmach. Błąd ten umożliwia zdalne wykonanie kodu (RCE) i jest potencjalnie zdolny do samodzielnego rozprzestrzeniania się w sieci.

Problem w tym, że Microsoft próbował załatać tę dziurę podczas październikowego „Patch Tuesday”, ale zrobił to nieskutecznie. Publicznie dostępny kod (PoC) szybko udowodnił, że poprawka jest niekompletna. Hakerzy natychmiast to wykorzystali. Firmy bezpieczeństwa, jak Huntress i Sophos, potwierdziły, że obserwują masowe ataki na serwery WSUS od 23-24 października. Microsoft był zmuszony do wydania drugiej, awaryjnej łatki poza standardowym harmonogramem, aby ostatecznie zamknąć dziurę.

Administratorzy systemów Windows powinni natychmiast zweryfikować, czy ich serwery WSUS mają zainstalowaną drugą, poprawną aktualizację. W przypadku luki zero-day w plikach .lnk, zarówno administratorzy, jak i zwykli użytkownicy, muszą zachować szczególną ostrożność i czekać na ruch ze strony Microsoftu, który do tej pory nie podał daty wydania poprawki.

Koniec z technicznym bełkotem. Aktualizacje Windows 11 będą bardziej zrozumiałe

#0Day #ArsTechnica #CVE202559287 #CVE20259491 #cyberbezpieczeństwo #lukaWZabezpieczeniach #Microsoft #news #PlugX #TrendMicro #windows #WSUS #zeroDay

China-linked UNC6384 group targets European diplomats via spear-phishing & PlugX malware.
Attack exploited Windows flaw ZDI-CAN-25373.
Full story 👉 https://www.technadu.com/china-linked-hacking-group-targets-european-diplomatic-entities-in-espionage-campaign/612350/

#CyberSecurity #APT #PlugX #UNC6384 #CyberEspionage

China-linked UNC6384 group targets European diplomats via spear-phishing & PlugX malware.
Attack exploited Windows flaw ZDI-CAN-25373.
Full story 👉 https://www.technadu.com/china-linked-hacking-group-targets-european-diplomatic-entities-in-espionage-campaign/612350/

#CyberSecurity #APT #PlugX #UNC6384 #CyberEspionage

China-linked UNC6384 group targets European diplomats via spear-phishing & PlugX malware.
Attack exploited Windows flaw ZDI-CAN-25373.
Full story 👉 https://www.technadu.com/china-linked-hacking-group-targets-european-diplomatic-entities-in-espionage-campaign/612350/

#CyberSecurity #APT #PlugX #UNC6384 #CyberEspionage

UNC6384 setzt Windows-Zero-Day ein – PlugX gegen diplomatische Vertretungen in Ungarn und Belgien
Die Kampagne zielte auf diplomatische Einrichtungen in Ungarn und Belgien und breitete sich auf weitere europäische Einrichtungen aus. PlugX wird in Memory ausgeführt, um dauerhaften Fernzugriff und verdeckte Datensammlung zu ermöglichen.

https://www.all-about-security.de/unc6384-setzt-windows-zero-day-ein-plugx-gegen-diplomatische-vertretungen-in-ungarn-und-belgien/

#plugx #zeroday #cyberspionage #cyber
security #MalwareTools #malware #Spearphishing

🚨 PlugX & Bookworm RATs resurface in Asia’s telecom + ASEAN networks.
🔹 PlugX overlaps w/ Naikon + BackdoorDiplomacy
🔹 Bookworm = Mustang Panda’s long-lived modular RAT
🔹 DLL side-loading, RC4 key reuse, stealthy C2
💬 Do overlaps between APT toolkits weaken attribution?
👉 Follow @technadu for sharp threat intel.

#PlugX #Bookworm #MustangPanda #Naikon #BackdoorDiplomacy #ASEAN #APT #ThreatIntel #CyberSecurity #TechNadu

🚨 PlugX & Bookworm RATs resurface in Asia’s telecom + ASEAN networks.
🔹 PlugX overlaps w/ Naikon + BackdoorDiplomacy
🔹 Bookworm = Mustang Panda’s long-lived modular RAT
🔹 DLL side-loading, RC4 key reuse, stealthy C2
💬 Do overlaps between APT toolkits weaken attribution?
👉 Follow @technadu for sharp threat intel.

#PlugX #Bookworm #MustangPanda #Naikon #BackdoorDiplomacy #ASEAN #APT #ThreatIntel #CyberSecurity #TechNadu

🚨 PlugX & Bookworm RATs resurface in Asia’s telecom + ASEAN networks.
🔹 PlugX overlaps w/ Naikon + BackdoorDiplomacy
🔹 Bookworm = Mustang Panda’s long-lived modular RAT
🔹 DLL side-loading, RC4 key reuse, stealthy C2
💬 Do overlaps between APT toolkits weaken attribution?
👉 Follow @technadu for sharp threat intel.

#PlugX #Bookworm #MustangPanda #Naikon #BackdoorDiplomacy #ASEAN #APT #ThreatIntel #CyberSecurity #TechNadu

🚨 Menace cyber majeure en Asie : PlugX et Bookworm ciblent les télécoms. Nouveaux algorithmes de chiffrement et techniques d'évasion sophistiquées. #Cybersécurité #APT #ChinaHackers #PlugX #Bookworm https://lynxintel.io/menaces-plugx-et-bookworm-sur-les-reseaux-de-telecoms-asiatiques/

UNC6384 Attack Detection: China-Linked Group Targets Diplomats and Hijacks Web Traffic Spreading a PlugX Variant – Source: socprime.com https://ciso2ciso.com/unc6384-attack-detection-china-linked-group-targets-diplomats-and-hijacks-web-traffic-spreading-a-plugx-variant-source-socprime-com/ #rssfeedpostgeneratorecho #CyberSecurityNews #CyberEspionage #Latestthreats #socprimecom #socprime #PlugX #Blog #APT

UNC6384 Attack Detection: China-Linked Group Targets Diplomats and Hijacks Web Traffic Spreading a PlugX Variant – Source: socprime.com https://ciso2ciso.com/unc6384-attack-detection-china-linked-group-targets-diplomats-and-hijacks-web-traffic-spreading-a-plugx-variant-source-socprime-com/ #rssfeedpostgeneratorecho #CyberSecurityNews #CyberEspionage #Latestthreats #socprimecom #socprime #PlugX #Blog #APT