Uma vulnerabilidade de longa data nos ficheiros de atalho do Windows (LNK) está a ser ativamente explorada por grupos de hackers patrocinados pelo Estado para lançar ataques cibernéticos contra entidades governamentais e diplomatas, de acordo com novos relatórios de segurança. A falha, identificada como CVE-2025-9491, permite que invasores ocultem códigos maliciosos em ícones de atalho aparentemente inofensivos usados diariamente por milhões de usuários. Apesar do número crescente de ataques, a Microsoft decidiu não lançar um patch direto para o problema, citando o risco de quebrar a funcionalidade legítima do sistema operacional. Os arquivos LNK do Windows são normalmente usados para apontar para aplicativos ou documentos. No entanto, eles também podem ser configurados para executar comandos do sistema. A vulnerabilidade está na forma como o Windows exibe essas propriedades de arquivo para o usuário. Embora a interface do usuário do Windows exiba apenas os primeiros 255 caracteres do caminho de destino de um atalho, o próprio formato de arquivo suporta até 4.096 caracteres. Os invasores exploram essa lacuna “preenchendo” seus comandos maliciosos com extensos espaços em branco. Quando um usuário inspeciona as propriedades do arquivo, ele vê um caminho benigno, mas os argumentos maliciosos ocultos – como scripts do PowerShell que baixam malware – são executados imediatamente após a abertura do arquivo. Pesquisadores de segurança vincularam essa técnica a campanhas de espionagem de alto perfil. Um grupo, identificado como XDSpy, tem como alvo agências governamentais na Europa Oriental. Nesses ataques, o grupo utilizou arquivos LNK para acionar um executável legítimo assinado pela Microsoft. Este executável então carregou um arquivo DLL malicioso para instalar a carga útil “XDigo”, que é capaz de roubar dados confidenciais, capturar capturas de tela e registrar pressionamentos de teclas. Outro ator de ameaça, identificado como UNC6384, foi observado visando diplomatas europeus. Este grupo usa táticas semelhantes de preenchimento de espaços em branco para ocultar comandos do PowerShell que implantam o trojan de acesso remoto PlugX, uma ferramenta comumente associada às operações chinesas de espionagem cibernética. Os relatórios indicam que estes ataques foram usados para comprometer sistemas na Hungria, Bélgica e outras nações alinhadas com a OTAN. De acordo com relatórios da Help Net Security, a Microsoft determinou que esta vulnerabilidade específica “não atendeu aos padrões de manutenção”. A posição da empresa é que a capacidade dos atalhos para iniciar programas com argumentos é uma característica fundamental do sistema operacional Windows, e alterar esse comportamento pode interromper software legítimo. Em vez de uma correção de código, a Microsoft conta com seu ecossistema de segurança para mitigar a ameaça. A empresa afirma que o Microsoft Defender é capaz de sinalizar atalhos maliciosos e seu recurso Smart App Control pode bloquear arquivos não confiáveis baixados da Internet. Os especialistas em segurança aconselham os usuários a tratar os arquivos LNK com o mesmo cuidado reservado aos arquivos executáveis (.EXE), especialmente quando chegam por e-mail ou dentro de arquivos ZIP. Como a interface do Windows pode não revelar todo o perigo de um arquivo, a inspeção visual não é mais uma medida de segurança confiável. Para ambientes corporativos, recomenda-se que as equipes de segurança configurem políticas como o AppLocker para restringir o lançamento de ferramentas de linha de comando como o PowerShell por arquivos de atalho. Para usuários individuais, manter o software antivírus atualizado continua sendo a principal linha de defesa contra esses ataques de “clique zero” ou de execução com um único clique.
