Jak wynika z nowych raportów bezpieczeństwa, sponsorowane przez państwo grupy hakerskie aktywnie wykorzystują długotrwałą lukę w plikach skrótów systemu Windows (LNK) do przeprowadzania cyberataków na instytucje rządowe i dyplomatów. Luka, oznaczona jako CVE-2025-9491, umożliwia atakującym ukrycie złośliwego kodu w pozornie nieszkodliwych ikonach skrótów używanych codziennie przez miliony użytkowników. Pomimo rosnącej liczby ataków Microsoft podobno zdecydował się nie publikować bezpośredniej łatki usuwającej ten problem, powołując się na ryzyko naruszenia legalnej funkcjonalności systemu operacyjnego. Pliki Windows LNK są zwykle używane do wskazywania aplikacji lub dokumentów. Można je jednak skonfigurować również do wykonywania poleceń systemowych. Luka polega na sposobie, w jaki system Windows wyświetla użytkownikowi właściwości plików. Chociaż interfejs użytkownika systemu Windows wyświetla tylko pierwsze 255 znaków ścieżki docelowej skrótu, sam format pliku obsługuje do 4096 znaków. Atakujący wykorzystują tę lukę, „wypełniając” swoje złośliwe polecenia rozległymi białymi znakami. Gdy użytkownik sprawdza właściwości pliku, widzi łagodną ścieżkę, ale ukryte złośliwe argumenty — takie jak skrypty PowerShell pobierające złośliwe oprogramowanie — są wykonywane natychmiast po otwarciu pliku. Badacze bezpieczeństwa powiązali tę technikę z głośnymi kampaniami szpiegowskimi. Jedna z grup, oznaczona jako XDSpy, atakowała agencje rządowe w Europie Wschodniej. W tych atakach grupa wykorzystywała pliki LNK do uruchomienia legalnego pliku wykonywalnego podpisanego przez Microsoft. Ten plik wykonywalny następnie pobrał złośliwy plik DLL w celu zainstalowania ładunku „XDigo”, który potrafi kraść poufne dane, przechwytywać zrzuty ekranu i rejestrować naciśnięcia klawiszy. Zaobserwowano, że innym czynnikiem zagrażającym, zidentyfikowanym jako UNC6384, którego celem są europejscy dyplomaci. Grupa ta stosuje podobną taktykę uzupełniania białych znaków, aby ukryć polecenia PowerShell, które wdrażają trojana zdalnego dostępu PlugX, narzędzie powszechnie kojarzone z chińskimi operacjami cyberszpiegowskimi. Raporty wskazują, że ataki te zostały wykorzystane do skompromitowania systemów na Węgrzech, w Belgii i innych krajach należących do NATO. Według raportów Help Net Security firma Microsoft ustaliła, że ta konkretna luka „nie spełniała wymagań obsługi”. Firma stoi na stanowisku, że możliwość uruchamiania programów za pomocą skrótów z argumentami jest podstawową cechą systemu operacyjnego Windows, a zmiana tego zachowania może zakłócać działanie legalnego oprogramowania. Zamiast poprawiać kod, Microsoft polega na swoim ekosystemie zabezpieczeń, aby złagodzić zagrożenie. Firma twierdzi, że Microsoft Defender jest w stanie oznaczać złośliwe skróty, a funkcja Smart App Control może blokować niezaufane pliki pobrane z Internetu. Eksperci ds. bezpieczeństwa radzą użytkownikom, aby traktowali pliki LNK z taką samą ostrożnością, jak w przypadku plików wykonywalnych (.EXE), zwłaszcza gdy docierają one pocztą elektroniczną lub znajdują się w archiwach ZIP. Ponieważ interfejs systemu Windows może nie ujawniać pełnego zagrożenia związanego z plikiem, kontrola wizualna nie jest już niezawodnym środkiem bezpieczeństwa. W środowiskach korporacyjnych zespołom ds. bezpieczeństwa zaleca się skonfigurowanie zasad, takich jak AppLocker, w celu ograniczenia plików skrótów do uruchamiania narzędzi wiersza poleceń, takich jak PowerShell. Dla użytkowników indywidualnych aktualizacja oprogramowania antywirusowego pozostaje główną linią obrony przed atakami typu „zero-click” lub „jednym kliknięciem”.
