Uma vulnerabilidade zero day no Windows, que permanece sem correção, tem sido explorada por 11 grupos de ameaças estatais desde 2017, colocando governos, empresas privadas e setores estratégicos em risco. A falha, rastreada pela Trend Micro Zero Day Initiative (ZDI) como ZDI-CAN-25373, permite que invasores executem comandos maliciosos ocultos em máquinas comprometidas ao abusar de arquivos de atalho do Windows (.LNK). Segundo os pesquisadores Peter Girnus e Aliakbar Zahravi, os atacantes utilizam argumentos ocultos dentro dos arquivos .LNK, inserindo caracteres especiais como Line Feed (\x0A) e Carriage Return (\x0D) para evitar detecção.

Essa técnica tem sido empregada por grupos como Evil Corp (Water Asena), Kimsuky (Earth Kumiho), Konni (Earth Imp), Bitter (Earth Anansi) e ScarCruft (Earth Manticore), totalizando quase 1.000 artefatos maliciosos identificados. A maioria dos ataques vem de grupos norte-coreanos, sugerindo colaboração entre diferentes unidades cibernéticas de Pyongyang. Entre os alvos estão governos, organizações financeiras, think tanks, provedores de telecomunicações e entidades militares nos EUA, Canadá, Rússia, Coreia do Sul, Vietnã e Brasil. As investigações revelaram que os arquivos .LNK atuam como vetores para a entrega de malwares conhecidos como Lumma Stealer, GuLoader e Remcos RAT.

Um dos casos mais relevantes é o uso dessa falha pelo Evil Corp para distribuir o Raspberry Robin, um malware que facilita a movimentação lateral em redes corporativas. Diante da decisão da Microsoft, especialistas recomendam que administradores de sistemas limitem a execução de arquivos .LNK desconhecidos, monitorem acessos suspeitos e reforcem políticas de segurança para mitigar possíveis ataques.