Microsoft a résolu de manière inattendue la vulnérabilité CVE-2025-9491, qui était utilisée depuis 2017 par les réseaux d'espionnage et les groupes cybercriminels spécialisés dans les opérations furtives. Le correctif a été déployé discrètement lors de la mise à jour Patch Tuesday 2025 de novembre, malgré des années de rapports sur l'ampleur et l'impact du problème. Cette faille permettait la création de fichiers de raccourci .lnk malveillants , présentant des paramètres anodins aux utilisateurs tout en exécutant simultanément des commandes cachées. Les attaquants exploitaient les caractères non imprimables et les espaces pour masquer complètement les arguments malveillants. Les propriétés du raccourci apparaissaient normales ou vides, tandis qu'un code conçu pour compromettre le système s'exécutait en arrière-plan. Le recours à l'ingénierie sociale a facilité l'infection, les raccourcis .lnk étant souvent confondus avec des pièces jointes inoffensives. Ce format s'est révélé un outil puissant pour les groupes de cyber-renseignement étatiques. En mars, des chercheurs de Trend Micro ont indiqué que depuis 2017, près d'un millier d'échantillons avaient été identifiés lors d'attaques menées par des équipes originaires de Corée du Nord, d'Iran, de Russie et de Chine. Onze groupes opérant à l'échelle mondiale ont été identifiés comme utilisant cette méthode pour obtenir des données et maintenir un accès persistant et dissimulé à des serveurs et des postes de travail.

Les premières tentatives de signalement du problème via l'initiative Zero Day se sont heurtées à une forte opposition. Microsoft a alors estimé que la vulnérabilité était trop peu prioritaire pour justifier une correction. Ce n'est que des années plus tard, face à de nouvelles campagnes de cyberespionnage, que l'entreprise a revu sa position et implémenté une modification affichant le chemin d'accès complet à la commande dans la fenêtre des propriétés du raccourci, empêchant ainsi toute manipulation. La dernière analyse révèle : « Notre analyse a montré que 11 groupes étatiques nord-coréens, iraniens, russes et chinois ont utilisé la vulnérabilité ZDI-CAN-25373 dans des opérations principalement motivées par le cyberespionnage et le vol de données », indiquait le rapport à l’époque. Cette vulnérabilité était encore exploitée lors d’attaques plusieurs semaines avant la publication de la mise à jour. Arctic Wolf Laboratories a publié la description d’une campagne menée par le groupe chinois UNC6384, connu sous le nom de Mustang Panda. Durant cette campagne, les destinataires recevaient des courriels falsifiés imitant les communications officielles d’institutions européennes. L’ouverture d’un simple raccourci suffisait à déclencher une série d’actions conduisant à l’installation du cheval de Troie d’accès à distance PlugX par chargement latéral de DLL associées à des logiciels légitimes. Les attaques visaient des missions diplomatiques en Hongrie, en Belgique, en Italie, en Serbie et aux Pays-Bas.

Suite à la médiatisation de l'affaire, Microsoft a rétracté sa publication du 31 octobre, dans laquelle l'entreprise affirmait que le rapport ne répondait pas aux critères permettant de qualifier la vulnérabilité de faille de sécurité. Microsoft a également mentionné le système de détection de Microsoft Defender et le Contrôle intelligent des applications, conçus pour atténuer les conséquences de l'exploitation de cette faille. Malgré cela, le correctif a été déployé auprès des utilisateurs en novembre sans communication approfondie et sans être considéré comme une mise à jour de sécurité majeure.