Peneliti telah mengidentifikasi dua kerentanan Windows yang saat ini dieksploitasi secara luas, termasuk cacat zero-day yang diketahui oleh penyerang sejak 2017. Microsoft belum memperbaiki zero-day tersebut, sementara isu kritis kedua menerima perbaikan darurat setelah patch awal yang tidak lengkap. Serangan ini menargetkan pengguna di berbagai negara dan melibatkan ancaman persisten lanjutan.
Kerentanan pertama, yang dilacak sebagai CVE-2025-9491, adalah zero-day dalam format biner Shortcut Windows yang telah dieksploitasi sejak 2017. Perusahaan keamanan Trend Micro menemukannya pada Maret, mencatat eksploitasi oleh hingga 11 kelompok ancaman persisten lanjutan (APT) di hampir 60 negara, dengan AS, Kanada, Rusia, dan Korea paling terdampak. Kelompok APT ini, yang sering terkait dengan negara-negara, menggunakan cacat tersebut—yang awalnya ditetapkan sebagai ZDI-CAN-25373—untuk menyebarkan berbagai payload pasca-eksploitasi. Tujuh bulan kemudian, Microsoft belum mengeluarkan patch.
Pada hari Kamis, Arctic Wolf melaporkan eksploitasi oleh kelompok yang selaras dengan China UNC-6384 terhadap target di berbagai negara Eropa. Serangan ini menyampaikan trojan akses jarak jauh PlugX, menjaga biner terenkripsi dalam format RC4 hingga tahap akhir. Arctic Wolf menyatakan: “Luasnya penargetan di berbagai negara Eropa dalam jangka waktu yang singkat menunjukkan baik operasi pengumpulan intelijen terkoordinasi skala besar atau penerapan tim operasional paralel ganda dengan alat bersama tetapi penargetan independen.” Tingkat keparahan cacat tersebut dinilai 7 dari 10, dan pengguna dapat mengurangi risiko dengan membatasi file .lnk dari sumber tidak tepercaya melalui pengaturan Windows Explorer.
Kerentanan kedua, CVE-2025-59287, memengaruhi Windows Server Update Services (WSUS) dan memungkinkan eksekusi kode jarak jauh karena cacat serialisasi. Dinilai 9.8 dalam keparahan dan berpotensi seperti cacing, pertama kali ditangani dalam Patch Tuesday Oktober Microsoft tetapi terbukti tidak lengkap setelah muncul kode proof-of-concept publik. Pembaruan tidak terjadwal minggu lalu memberikan perbaikan yang tepat. Huntress mengamati eksploitasi dimulai 23 Oktober, sementara Sophos dan Eye melaporkan aktivitas dari 24 Oktober di berbagai lingkungan pelanggan lintas industri. Sophos mencatat: “Gelombang aktivitas, yang berlangsung beberapa jam dan menargetkan server WSUS yang menghadap internet, memengaruhi pelanggan di berbagai industri dan tidak tampak sebagai serangan yang ditargetkan.” Masih tidak jelas apakah penyerang menggunakan proof-of-concept publik atau mengembangkan eksploitasi mereka sendiri.
Administrator dianjurkan untuk memeriksa kerentanan dan menerapkan patch di mana tersedia, meskipun tidak ada jadwal untuk CVE-2025-9491.