A Check Point Research descobriu uma operação de espionagem que explora uma vulnerabilidade de dia zero desconhecida no Microsoft Windows (CVE-2025-33053). Segundo os pesquisadores a falha já é corrigida pela Microsoft em sua atualização de segurança de 10 de junho de 2025 (Patch Tuesday). A campanha, atribuída ao grupo de ameaça persistente avançada (APT) Stealth Falcon, teve como alvo entidades de defesa de alto nível no Oriente Médio, incluindo a exploração baseada em WebDAV do CVE-2025-33053 para entregar o Horus Agent, um implante personalizado criado para a estrutura de código aberto Mythic C2 (Comando e Controle).
A investigação da CPR identificou que a falha foi explorada ativamente em uma tentativa de ataque contra uma importante organização de defesa na Turquia, em março de 2025. O ataque utilizava um arquivo de atalho de internet URL disfarçado de documento PDF, que silenciosamente executava código malicioso hospedado em um servidor WebDAV remoto controlado pelos atacantes.
Os pesquisadores afirmaram que o ataque foi atribuído ao Stealth Falcon, também conhecido como FruityArmor, um grupo de espionagem cibernética ativo desde 2012, com foco histórico em alvos estratégicos nos setores de governo e defesa no Oriente Médio e África.
Principais pontos da campanha de ataque
O relatório identificou que a cadeia de infecção se inicia com um arquivo URL camuflado, capaz de acionar silenciosamente malware remoto por meio de ferramentas legítimas do Windows. Além disso, a operação utilizava um carregador customizado em múltiplos estágios, chamado Horus Loader, desenvolvido para limpar rastros, contornar mecanismos de detecção e enganar usuários com documentos isca.
E o payload final é o Horus Agent, um implante personalizado desenvolvido sobre o framework de código aberto Mythic, com capacidades furtivas e comandos customizados para coleta de informações e execução remota. Os dados revelam que a campanha evidencia o uso criativo de falhas no comportamento do diretório de trabalho do Windows e no protocolo WebDAV para realizar ataques sofisticados sem deixar vestígios locais.
De acordo com os pesquisadores da CPR, a campanha demonstra como grupos APT bem financiados, como o Stealth Falcon, continuam evoluindo e explorando até mesmo pequenas brechas ou comportamentos negligenciados em sistemas amplamente utilizados.
A exploração da CVE-2025-33053 mostra como vulnerabilidades críticas podem ser armadas silenciosamente antes de serem detectadas. Eles relataram ainda que a vulnerabilidade permitia execução remota de código sem interação do usuário e sem deixar objetos diretos nos computadores infectados, o que dificultava a detecção por soluções tradicionais.
A recomendação da organização é que empresas dos setores de defesa, governo e infraestrutura crítica revisem seus logs (registros) e sistemas de monitoramento para identificar possíveis sinais de comprometimento. Como e-mails com arquivos URL ou LNK suspeitos; conexões inesperadas com servidores WebDAV; processos incomuns iniciados por ferramentas nativas como iediagcmd[.]exe e CustomShellHost[.]exe e programas disfarçados como utilitários legítimos do Windows executados a partir de locais remotos.
