Secondo nuovi rapporti sulla sicurezza, una vulnerabilità di vecchia data nei file di scelta rapida di Windows (LNK) viene attivamente sfruttata da gruppi di hacker sponsorizzati dallo stato per lanciare attacchi informatici contro enti governativi e diplomatici. La falla, identificata come CVE-2025-9491, consente agli aggressori di nascondere codice dannoso all’interno delle icone di collegamento apparentemente innocue utilizzate quotidianamente da milioni di utenti. Nonostante il crescente numero di attacchi, Microsoft avrebbe deciso di non rilasciare una patch diretta per il problema, citando il rischio di interrompere le funzionalità legittime del sistema operativo. I file LNK di Windows vengono generalmente utilizzati per puntare ad applicazioni o documenti. Tuttavia, possono anche essere configurati per eseguire comandi di sistema. La vulnerabilità risiede nel modo in cui Windows mostra queste proprietà dei file all’utente. Mentre l’interfaccia utente di Windows visualizza solo i primi 255 caratteri del percorso di destinazione di un collegamento, il formato file stesso supporta fino a 4.096 caratteri. Gli aggressori sfruttano questa lacuna “riempindo” i propri comandi dannosi con ampi spazi bianchi. Quando un utente controlla le proprietà del file, vede un percorso innocuo, ma gli argomenti dannosi nascosti, come gli script PowerShell che scaricano malware, vengono eseguiti immediatamente all’apertura del file. I ricercatori nel campo della sicurezza hanno collegato questa tecnica a campagne di spionaggio di alto profilo. Un gruppo, identificato come XDSpy, ha preso di mira le agenzie governative nell’Europa orientale. In questi attacchi, il gruppo ha utilizzato file LNK per attivare un eseguibile legittimo firmato da Microsoft. Questo eseguibile ha quindi trasferito un file DLL dannoso per installare il payload “XDigo”, che è in grado di rubare dati sensibili, acquisire schermate e registrare le sequenze di tasti. È stato osservato che un altro attore della minaccia, identificato come UNC6384, prendeva di mira diplomatici europei. Questo gruppo utilizza tattiche simili di riempimento degli spazi bianchi per nascondere i comandi PowerShell che distribuiscono il trojan di accesso remoto PlugX, uno strumento comunemente associato alle operazioni di spionaggio informatico cinesi. I rapporti indicano che questi attacchi sono stati utilizzati per compromettere i sistemi in Ungheria, Belgio e altre nazioni allineate alla NATO. Secondo quanto riportato da Help Net Security, Microsoft ha stabilito che questa specifica vulnerabilità “non soddisfaceva i requisiti per la manutenzione”. La posizione dell’azienda è che la capacità delle scorciatoie di avviare programmi con argomenti è una caratteristica fondamentale del sistema operativo Windows e alterare questo comportamento potrebbe interrompere il software legittimo. Invece di una correzione del codice, Microsoft fa affidamento sul proprio ecosistema di sicurezza per mitigare la minaccia. L’azienda afferma che Microsoft Defender è in grado di contrassegnare scorciatoie dannose e la sua funzionalità di controllo intelligente delle app può bloccare i file non attendibili scaricati da Internet. Gli esperti di sicurezza consigliano agli utenti di trattare i file LNK con la stessa cautela riservata ai file eseguibili (.EXE), soprattutto quando arrivano via email o all’interno di archivi ZIP. Poiché l’interfaccia di Windows potrebbe non rivelare completamente la pericolosità di un file, l’ispezione visiva non è più una misura di sicurezza affidabile. Per gli ambienti aziendali, si consiglia ai team di sicurezza di configurare policy come AppLocker per impedire ai file di collegamento di avviare strumenti da riga di comando come PowerShell. Per i singoli utenti, mantenere aggiornato il software antivirus rimane la principale linea di difesa contro questi attacchi “zero-click” o con esecuzione con un solo clic.
