Pesquisadores identificaram o uso de um malware chamado XDigo em ataques a órgãos governamentais no Leste Europeu em março de 2025. A campanha explora uma falha no Windows ao processar arquivos .LNK (atalhos), rastreada como ZDI-CAN-25373 e divulgada publicamente em março. O ataque começa com arquivos .LNK manipulados para esconder comandos maliciosos na interface do Windows Explorer, utilizando espaços em branco ou caracteres invisíveis. Isso explora a diferença entre a implementação real do Windows e sua especificação técnica.
Foram detectadas nove amostras desse tipo de arquivo, distribuídas dentro de arquivos ZIP que incluem um PDF de isca, um executável legítimo renomeado e uma DLL maliciosa, carregada de forma oculta. A DLL, chamada ETDownloader, inicia a cadeia de ataque e faz o download de um segundo estágio: o XDigo, uma versão atualizada de um malware anteriormente documentado. Esse software de espionagem é capaz de coletar arquivos, capturar telas, monitorar a área de transferência e executar comandos ou binários recebidos de servidores remotos. As informações coletadas são exfiltradas por meio de requisições HTTP POST, enquanto comandos chegam via HTTP GET.
Até o momento, uma vítima foi confirmada na região de Minsk, com indícios de outras ações contra grupos do setor financeiro, varejistas, seguradoras e serviços postais na Rússia. O perfil dessas vítimas é consistente com operações anteriores do mesmo grupo, que desde 2011 tem como alvo entidades governamentais da Europa Oriental e, especialmente, de Belarus. Também foram observadas técnicas avançadas de evasão, como a capacidade de evitar sistemas de sandboxing usados por organizações locais.
