Une faille de sécurité dans Windows, dont parle depuis longtemps la communauté de la cybersécurité, permet l'exécution de code arbitraire via un raccourci .LNK. Bien que révélée publiquement au printemps 2025, son histoire remonte à bien plus loin. Trois ans plus tard, aucun correctif n'a encore été publié. Entre-temps, loin d'être oubliée, cette vulnérabilité est devenue un outil dans une campagne visant des institutions gouvernementales européennes. Des attaques coordonnées contre des institutions diplomatiques et gouvernementales de pays de l'Union européenne ont eu lieu entre septembre et octobre 2025. Arctic Wolf a publié un rapport technique indiquant que des missions diplomatiques en Hongrie, en Belgique, en Italie et aux Pays-Bas, ainsi que des bureaux gouvernementaux en Serbie, ont été ciblés. L'attaque aurait été menée par un groupe de cybercriminels connu sous le nom d'UNC6384, que les chercheurs ont identifié comme étant lié aux services de renseignement chinois. Les attaques ont débuté par des courriels d'hameçonnage personnalisés. Les destinataires recevaient un lien censé mener à des documents relatifs aux réunions de la Commission européenne, aux événements de l'OTAN ou aux consultations diplomatiques. En réalité, le fichier contenait un hachage .LNK, qui constituait la première étape de l'infection.

Ces attaques exploitaient la vulnérabilité ZDI-CAN-25373, également référencée CVE-2025-9491. L'ouverture d'un fichier .LNK lançait un script PowerShell qui téléchargeait des ressources depuis une archive TAR chiffrée. L'utilisateur ne voyait qu'un document PDF d'apparence légitime. Simultanément, une DLL liée à l'outil PlugX était installée en arrière-plan. PlugX appartient à la famille des chevaux de Troie d'accès à distance. Il permet le contrôle de l'ordinateur, l'interception des frappes au clavier, le téléchargement et l'envoi de fichiers, et assure une présence persistante dans le système par le biais de modifications du registre. Ces opérations sont menées de manière à minimiser ses traces. Selon les chercheurs, la taille des fichiers responsables de l'infection a diminué de mois en mois, ce qui indique le développement actif de la campagne et l'optimisation de l'outil pour passer inaperçu.

La vulnérabilité des fichiers de raccourci .LNK est connue depuis des années. Trend Micro indique qu'elle est exploitée par plusieurs groupes criminels depuis au moins 2017. Parmi les attaques précédentes, on peut citer celle du groupe XDSpy, qui a distribué le cheval de Troie XDigo à des institutions gouvernementales d'Europe de l'Est. Microsoft souligne que Windows Defender peut détecter les attaques si l'utilisateur est vigilant. Cependant, le problème demeure structurel : la vulnérabilité persiste. Les systèmes d'alerte ne sauraient remplacer une correction du code source. Les experts soulignent que l'exploitation de cette vulnérabilité requiert l'implication de la victime : l'utilisateur doit ouvrir le fichier. Toutefois, ce type de protection n'est efficace que contre les personnes ignorant les menaces. Pour les équipes de cyber-renseignement, cela ne représente guère d'obstacle, car les courriels d'hameçonnage sont conçus en fonction du contexte des réunions diplomatiques et des enjeux politiques actuels. Selon les experts, cette campagne s'inscrit dans le cadre des objectifs à long terme de collecte d'informations sur la coopération militaire, la coordination des politiques interétatiques et les relations au sein de l'OTAN et des structures de l'Union européenne.

L'absence de correctif officiel devient un problème non seulement technologique, mais aussi politique. Les logiciels système constituent une infrastructure nationale. Le maintien d'une vulnérabilité connue pendant plusieurs années ouvre la voie à des opérations stratégiques. Pour l'instant, il nous faut attendre de voir si Microsoft décide de publier un correctif et si les institutions publiques modifieront les règles de distribution des documents et des fichiers dans les environnements de travail.