Um grupo de hackeamento APT conhecido como 'Stealth Falcon' explorou uma vulnerabilidade RCE (Remote Code Execution) no WebDav do Windows em ataques zero-day desde março de 2025 contra organizações de defesa e governamentais na Turquia, Qatar, Egito e Iêmen.
Stealth Falcon (também conhecido como 'FruityArmor') é um grupo de APT (Advanced Persistent Threat) conhecido por realizar ataques de ciberespionagem contra organizações do Oriente Médio.
A falha, registrada sob
CVE-2025-33053
, é uma vulnerabilidade de execução remota de código que surge do manejo inadequado do diretório de trabalho por executáveis do sistema legítimos.
Especificamente, quando um arquivo .url define seu WorkingDirectory para um caminho remoto WebDav, uma ferramenta integrada do Windows pode ser enganada para executar um executável malicioso dessa localização remota em vez da legítima.
Isso permite aos atacantes forçar dispositivos a executar código arbitrário remotamente de servidores WebDav sob seu controle sem baixar arquivos maliciosos localmente, tornando suas operações furtivas e evasivas.
A vulnerabilidade foi descoberta pela Check Point Research, com a Microsoft corrigindo a falha na última atualização de Patch Tuesday, lançada ontem.
De acordo com a Check Point, os ataques tentados podem não ter sido bem-sucedidos, embora a vulnerabilidade seja válida e confirmada como explorada.
"Em março de 2025, a Check Point Research identificou uma tentativa de ciberataque contra uma empresa de defesa na Turquia", menciona o relatório da Check Point.
Os agentes de ameaças usaram uma técnica anteriormente não divulgada para executar arquivos hospedados em um servidor WebDav que controlavam, manipulando o diretório de trabalho de uma ferramenta integrada legítima do Windows.
Os ataques tentados usaram um arquivo URL enganoso disfarçado de PDF, enviado aos alvos via e-mail de phishing.
A Check Point recuperou o arquivo e os payloads subsequentes hospedados no servidor do atacante para analisar a tentativa de ataque.
O exploit começa com um arquivo .url, mostrado abaixo, cujo parâmetro URL aponta para iediagcmd.exe, uma ferramenta legítima de diagnósticos do Internet Explorer.
Quando executada, essa ferramenta lança vários comandos de diagnóstico de rede, como route, ipconfig, e netsh, para ajudar na resolução de problemas de rede.
No entanto, a falha é explorável devido à forma como o Windows localiza e executa essas ferramentas de diagnóstico de linha de comando.
Quando iediagcmd.exe é executado, os programas de diagnóstico do Windows são lançados usando a função .NET Process.Start().
Essa função primeiro procura o programa no diretório de trabalho atual do aplicativo antes de procurar nas pastas do sistema do Windows, como System32.
Neste ataque, o exploit .url malicioso define o diretório de trabalho para o servidor WebDav do atacante, fazendo com que a ferramenta iediagcmd.exe execute os comandos diretamente do compartilhamento remoto WebDav.
Isso faz com que iediagcmd.exe execute o programa route.exe falso do atacante do servidor remoto, o qual instala um carregador multi-estágio personalizado chamado 'Horus Loader.'
O carregador então solta o payload primário, 'Horus Agent', um implante Mythic C2 customizado em C++ que suporta execução de comando para fingerprinting do sistema, mudanças de configuração, injeção de shellcode e operações de arquivo.
A Check Point também encontrou várias ferramentas de pós-exploração, incluindo um dumper de arquivo de credenciais, um keylogger e um backdoor passivo consistindo de um pequeno serviço C esperando por payloads de shellcode encriptados pela rede.
A Check Point sublinha a evolução do Stealth Falcon, um agente de ameaça ativo desde pelo menos 2012, focado em espionagem.
Previamente, os agentes de ameaça usavam agentes Apollo personalizados, enquanto suas ferramentas Horus mais recentes são mais avançadas, evasivas e modulares, proporcionando furtividade operacional e flexibilidade.
Dada a exploração ativa do
CVE-2025-33053
em operações de espionagem, organizações críticas são recomendadas a aplicar as últimas atualizações do Windows o mais breve possível.
Se a atualização for impossível, é recomendado bloquear ou monitorar de perto o tráfego WebDav para conexões de saída suspeitas para endpoints desconhecidos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...