Un dios egipcio con cabeza de halcón ahora vive en tu periferia, pero no es mitología, es un nuevo día cero

En la actualización de junio de Microsoft se corrigió una vulnerabilidad crítica zero-day con el identificador CVE-2025-33053, que estaba siendo explotada activamente por el grupo APT Stealth Falcon para ejecutar código de forma remota en sistemas Windows. La vulnerabilidad permitía modificar el directorio de trabajo de las utilidades del sistema y ejecutar archivos maliciosos desde servidores WebDAV. Según Check Point, el ataque fue detectado por primera vez en marzo de 2025 durante un intento de comprometer a una empresa de defensa turca.

La cadena de infección comenzaba con un correo de phishing con un archivo adjunto malicioso con la extensión .url, que se hacía pasar por un documento PDF. Al abrirlo, un objeto con el nombre «TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url» iniciaba la ejecución de «iediagcmd.exe», una utilidad integrada en Windows, pero no desde el disco local, sino desde un servidor WebDAV externo, donde se alojaba un archivo troyano llamado «route.exe» con el mismo nombre. Esta evasión de las rutas de confianza fue posible gracias a la manipulación del directorio de trabajo, lo que otorgaba prioridad a la versión maliciosa del archivo sobre la legítima.

Los especialistas destacan que este es el primer caso conocido de explotación de un servidor WebDAV mediante la ejecución de un archivo ejecutable utilizando herramientas nativas de Windows, en lugar de scripts o cargadores. Este hallazgo resalta la novedad de la táctica de Stealth Falcon, también conocido como FruityArmor — un grupo activo desde 2012 que se especializa en atacar a entidades gubernamentales y de defensa en países de Oriente Medio y África.

En el marco de la campaña se utilizó una nueva plataforma maliciosa llamada Horus Agent, desarrollada sobre el framework Mythic C2 y nombrada en honor al dios egipcio con cabeza de halcón. Su fase inicial era Horus Loader — un cargador en C++ protegido mediante Code Virtualizer y capaz de evadir análisis gracias al mapeo manual de las bibliotecas «kernel32.dll» y «ntdll.dll». Verificaba la presencia de 109 procesos antivirus de 17 fabricantes y ocultaba su actividad mostrando un documento PDF falso descifrado para distraer a la víctima.

El cargador empleaba la técnica de IPfuscation — cifrado de la carga útil dentro de direcciones IPv6 — e inyectaba el código en el proceso del navegador Microsoft Edge mediante llamadas al sistema ZwAllocateVirtualMemory, ZwWriteVirtualMemory y NtResumeThread. La etapa final era la ejecución de Horus Agent — un módulo con un alto nivel de ofuscación (OLLVM, cifrado de cadenas con desplazamiento -39, control de flujo y hash de API). El agente se comunicaba con servidores C2 mediante HTTP con cifrado AES y firma HMAC-SHA256, admitía hasta cuatro dominios y contaba con un mecanismo de autoapagado con fecha límite del 31 de diciembre de 2099.

Entre los comandos soportados se incluyen la recopilación de información del sistema (survey) y la inyección de shellcode (shinjectchunked). Además, el grupo utilizaba un arsenal complementario de herramientas, entre ellas:

• Spayload — otro módulo de Mythic con capacidades ampliadas;
• DC Credential Dumper — herramienta para extraer archivos NTDS.dit, SAM y SYSTEM mediante el montaje del disco virtual «C:\ProgramData\ds_notifier_0.vhdx» y la posterior compresión de datos en un archivo ZIP;
• Backdoor pasivo («usrprofscc.exe») — servicio en segundo plano con privilegios de administrador, a la espera de shellcode cifrado;
• Keylogger («StatusReport.dll») — módulo inyectado en «dxdiag.exe» que registraba pulsaciones de teclas en un archivo log cifrado con RC4 ubicado en «C:\Windows\Temp~TN%LogName%.tmp».

Microsoft corrigió la vulnerabilidad CVE-2025-33053 en la actualización Patch Tuesday de junio. Los expertos de Check Point recomiendan actualizar Windows de inmediato y aplicar medidas adicionales: concienciar a los empleados sobre el phishing, monitorear el tráfico de red, especialmente el relacionado con WebDAV y dominios sospechosos, así como utilizar soluciones de seguridad que detecten intentos de evasión de utilidades del sistema e inyección de código.

La actividad de Stealth Falcon subraya el alto nivel técnico de los atacantes y su capacidad para adaptarse a los mecanismos de protección más recientes. Los objetivos siguen siendo entidades gubernamentales y empresas con infraestructuras críticas, especialmente en Oriente Medio, lo que exige a las organizaciones mantener una vigilancia constante y responder de forma oportuna.