La campaña explotó una vulnerabilidad crítica (CVE-2025-33053) para ejecutar malware desde servidores remotos usando herramientas legítimas de Windows
Sofisticada campaña de ciberespionaje llevada a cabo por el grupo APT conocido como Stealth Falcon
Microsoft clasificó la vulnerabilidad como CVE-2025-33053 y publicó un parche
Bogotá, junio 13 de 2025 – Check Point Research, la división de Inteligencia de Amenazas Check Point Software Technologies Ltd. (NASDAQ: CHKP), pionero y especialista global en soluciones de ciberseguridad, ha descubierto una vulnerabilidad crítica en Windows (CVE-2025-33053), previamente desconocida, que estaba siendo explotada activamente en una sofisticada campaña de ciberespionaje llevada a cabo por el grupo APT conocido como Stealth Falcon.
La campaña comenzó con un archivo de acceso directo (.url) disfrazado de documento PDF relacionado con daños en equipamiento militar. Este archivo malicioso activaba silenciosamente un malware alojado en un servidor WebDAV controlado por los atacantes, abusando de herramientas legítimas de Windows.
Los investigadores identificaron esta amenaza en marzo de 2025, durante un intento de ataque contra una importante organización de defensa en Turquía. Tras la divulgación responsable a Microsoft, la compañía clasificó la vulnerabilidad como CVE-2025-33053 y publicó un parche el 10 de junio de 2025 como parte de su actualización mensual Patch Tuesday.
Campaña avanzada y dirigida
El ataque incluía un cargador personalizado, conocido como Horus Loader, diseñado para eliminar rastros, evadir mecanismos de detección, abrir documentos señuelo y desplegar un implante final llamado Horus Agent. Este último es un implante privado, desarrollado específicamente para el marco Mythic de comando y control, ampliamente usado por equipos de red team.
A diferencia de otros agentes conocidos, Horus Agent fue construido desde cero en C++, con un diseño centrado en el sigilo, la evasión y la activación selectiva en objetivos de alto valor.
El uso de componentes legítimos del sistema como iediagcmd.exe o CustomShellHost.exe, sumado al aprovechamiento de WebDAV, permitió a los atacantes ejecutar código remoto sin necesidad de depositar archivos en la máquina víctima en las primeras fases del ataque.
Examinar registros
Para determinar si el entorno ha sido vulnerado, Check Point Research recomienda examinar los registros y sistemas de monitorización en busca de lo siguiente:
· Correos electrónicos con archivos adjuntos comprimidos que incluyen un archivo .URL o .LNK aparentemente inofensivo.
· Conexiones inusuales o no identificadas a servidores WebDAV iniciadas por procesos predeterminados de Windows.
· Uso de herramientas incorporadas como iediagcmd.exe y CustomShellHost.exe, que inician procesos secundarios desde ubicaciones remotas o actúan en contextos inesperados, como ser activadas desde máquinas remotas o encontrarse en endpoints donde su ejecución no se espera.
· Procesos disfrazados como utilidades del sistema legítimas como route.exe, ipconfig.exe, netsh.exe o explorer.exe, ejecutados desde ubicaciones remotas.
“Desde Check Point Software hemos desarrollado y desplegado protecciones para mantener a nuestros clientes seguros antes de que la vulnerabilidad se hiciera pública”, explica Manuel Rodríguez, Gerente de Ingeniería de Seguridad en NOLA de Check Point Software. “Las soluciones Intrusion Prevention System, Threat Emulation y Harmony Endpoint detectan y bloquean intentos de explotación dirigidos a esta brecha de seguridad”.