Den israelske sikkerhetsfirmaet ClearSky Cyber Security har oppdaget at den kinesiske hackergruppen Mustang Panda utnytter en ny Windows-sårbarhet.
Microsoft er klar over feilen, men har klassifisert den som lav alvorlighetsgrad, ifølge kybersikkerhetsmagasinet Security Week.
Den israelske trusselanalysefirmaet ClearSky Cyber Security meldte torsdag at en kinesisk APT-gruppe (Advanced Persistent Threat), kjent som Mustang Panda, har begynt å utnytte en ny sårbarhet i Windows. (Mustang Panda er et dyrenavn gitt av CrowdStrike, men også kjent som TA416 av sikkerhetsanalytikere fra ProofPoint, journ.anm.).
Sårbarheten ser ut til å være en såkalt zero-day, noe som betyr at den har blitt utnyttet før en offisiell løsning er tilgjengelig. ClearSky har foreløpig ikke publisert detaljer om feilen, men skrev på X at ingen CVE-identifikator ser ut til å være tildelt ennå.
ClearSky Cyber Security has discovered a UI vulnerability in Microsoft Windows. This vulnerability is actively exploited by a suspected Chinese APT group – Mustang Panda.
When files are extracted from compressed “RAR” files they are hidden from the user. If the compressed files… pic.twitter.com/Ip0L9nPRBX
— ClearSky Cyber Security (@ClearskySec) February 13, 2025
– Vi har observert en UI-sårbarhet i Windows som allerede blir utnyttet av Mustang Panda, skriver selskapet.
Skjulte filer i Windows Explorer
Sikkerhetsselskapet forklarer at sårbarheten oppstår når filer pakkes ut fra en komprimert RAR-fil. Disse filene blir usynlige i Windows Utforsker, til tross for at de er til stede i systemet.
– Når filer pakkes ut til en mappe, vil mappen fremstå som tom i Windows Explorer, men filene kan fortsatt sees ved bruk av ‘dir’-kommandoen i kommandolinjen, skriver ClearSky.
Les også: Kinesiske hackere truer amerikansk infrastruktur, avslører FBI
Dette gir angripere muligheten til å skjule filer fra brukere og kjøre dem direkte fra kommandolinjen, så lenge de kjenner filbanen. Videre har forskerne oppdaget at hvis en bruker kjører kommandoen attrib -s -h på systembeskyttede filer, kan det oppstå en ukjent filtype relatert til en ‘Unknown’ ActiveX-komponent.
Microsoft avviser høy alvorlighetsgrad
Microsoft skal være klar over problemet, men har ifølge ClearSky klassifisert det som en feil med lav alvorlighetsgrad.
Den nye sårbarheten kommer samtidig som Microsoft har lansert februaroppdateringen sin, hvor de har fikset over 50 sikkerhetsfeil i Windows. To av disse feilene var såkalte zero-days, altså sårbarheter som hackere allerede har utnyttet før Microsoft rakk å lage en løsning:
– CVE-2025-21391: En feil i Windows lagringssystemet som gjør det mulig for en angriper å slette filer fra en datamaskin uten tillatelse. Dette kan potensielt føre til tap av viktige filer eller gjøre systemet ustabilt.
– CVE-2025-21418: En sårbarhet i en viktig Windows-driver kalt “Ancillary Function Driver”. Denne feilen kan gi en hacker økt tilgang i systemet, slik at de kan gjøre endringer på datamaskinen som om de var administratorer. Dette kan føre til at skadelig programvare installeres eller at angriperen får full kontroll over systemet.
Microsofts oppdatering skal hindre at disse feilene blir videre utnyttet, men brukere må selv sørge for å installere oppdateringene for å være beskyttet.
ClearSky planlegger å publisere en mer detaljert analyse av Windows-sårbarheten i en kommende rapport.
Kinesiske hackere koblet til USAs finansdepartement: Ment for å ramme sanksjonssystemet
