Nowa broń starych graczy
Z pozoru wyglądało to jak typowy phishing – plik podszywający się pod dokument PDF trafiał na skrzynki pocztowe urzędników i pracowników organizacji obronnych w kilku krajach Bliskiego Wschodu. W rzeczywistości za tą z pozoru prostą techniką stał złożony i precyzyjny mechanizm infekcji zdalnej, wykorzystujący świeżo odkrytą lukę w zabezpieczeniach systemu Windows. Odpowiedzialna za te działania grupa Stealth Falcon, od lat prowadząca operacje cyberszpiegowskie w regionie, tym razem posłużyła się błędem w obsłudze katalogu roboczego przez narzędzia systemowe Windows – błędem, który do marca 2025 roku nie był znany nawet producentowi systemu. Wszystko zaczyna się od zdalnego serwera WebDAV, na którym napastnicy umieszczają spreparowane pliki wykonywalne, podszywające się pod znane narzędzia systemowe. Następnie za pomocą pliku .url, wysyłanego ofiarom w ramach kampanii phishingowej, zmuszają system operacyjny do uruchomienia ich kodu bez konieczności pobierania czegokolwiek lokalnie. Wykorzystany exploit CVE-2025-33053 pozwala na zdalne wykonanie kodu przy użyciu uprawnień systemowych, jeśli tylko narzędzie Windows uruchomi się z niewłaściwie ustawionym katalogiem roboczym – w tym przypadku wskazującym na zdalny udział WebDAV. To, co czyni ten atak szczególnie niebezpiecznym, to jego niewidzialność. Kod nigdy nie trafia na dysk ofiary – wszystko odbywa się zdalnie, przez zaufane mechanizmy systemowe, co sprawia, że standardowe systemy ochrony nie rejestrują podejrzanej aktywności.
Zdalna kontrola bez śladu
W zidentyfikowanych przypadkach za pośrednictwem pliku .url uruchamiane było narzędzie diagnostyczne iediagcmd.exe – legalny komponent systemu Windows, zaprojektowany do testowania połączeń sieciowych. Jednak dzięki manipulacji katalogiem roboczym, narzędzie to uruchamiało spreparowaną wersję programu route.exe, pochodzącą z serwera napastników. Ten z kolei instalował niestandardowy loader nazwany "Horus Loader", który następnie wprowadzał na urządzenie końcowe docelowy implant – "Horus Agent". Ten ostatni to nowoczesne narzędzie napisane w C++, działające w architekturze Mythic C2, które daje atakującym pełną kontrolę nad zainfekowanym urządzeniem. Z jego pomocą możliwe jest zdalne wykonywanie komend, zbieranie informacji o systemie, modyfikowanie konfiguracji, wstrzykiwanie kodu, a także manipulowanie plikami. Wśród ujawnionych komponentów znalazły się także narzędzia do pozyskiwania danych logowania, rejestrowania naciśnięć klawiszy oraz pasywny backdoor – lekki i trudny do wykrycia. Wszystkie elementy układanki wskazują na jedno – grupa Stealth Falcon nie tylko rozwija swój techniczny arsenał, ale również wyraźnie podnosi poziom wyrafinowania swoich działań. Działający od co najmniej 2012 roku zespół, wcześniej znany z wykorzystywania agentów Apollo, obecnie używa znacznie bardziej modularnych i trudniejszych do wykrycia narzędzi, jak właśnie Horus. Eksperci z Check Point Research podkreślają, że ataki były prowadzone z chirurgiczną precyzją, a ich celem były konkretne organizacje w Turcji, Katarze, Egipcie i Jemenie.
