Stealth Falcon (hay còn gọi là 'FruityArmor') là một nhóm đe dọa dai dẳng nâng cao (APT) được biết đến với việc thực hiện các cuộc tấn công gián điệp mạng nhằm vào các tổ chức Trung Đông.

Lỗ hổng được Stealth Falcon theo dõi có tên mã là CVE-2025-33053. Đây là lỗ hổng thực thi mã từ xa (RCE), phát sinh do một số tệp thực thi hệ thống hợp pháp xử lý không đúng thư mục làm việc (WorkingDirectory).

Cụ thể, khi tệp .url đặt WorkingDirectory của mình thành đường dẫn WebDAV từ xa, một công cụ Windows tích hợp có thể bị lừa thực thi tệp thực thi độc hại từ vị trí ở xa đó thay vì vị trí hợp pháp.

Điều này cho phép kẻ tấn công buộc các thiết bị thực thi mã tùy ý từ xa từ các máy chủ WebDAV do chúng kiểm soát mà không phát tán các tệp độc hại cục bộ, khiến hoạt động của chúng trở nên lén lút và khó phát hiện.

Lỗ hổng bảo mật này đã được Check Point Research phát hiện, Microsoft đã sửa lỗi trong bản cập nhật Patch Tuesday mới nhất, được phát hành ngày hôm qua.

Theo Check Point, các cuộc tấn công có thể không thành công, mặc dù lỗ hổng bảo mật này vẫn hợp lệ và được xác nhận là đã bị khai thác.

"Vào tháng 3 năm 2025, Check Point Research đã xác định được một cuộc tấn công mạng nhằm vào một công ty quốc phòng ở Thổ Nhĩ Kỳ", báo cáo của Check Point đề cập.

"Những kẻ tấn công đã sử dụng một kỹ thuật chưa từng được tiết lộ trước đây để thực thi các tệp được lưu trữ trên máy chủ WebDAV mà chúng kiểm soát, bằng cách thao túng thư mục làm việc của một công cụ Windows tích hợp hợp pháp".

Các cuộc tấn công đã sử dụng một tệp URL lừa đảo được ngụy trang dưới dạng file PDF, được gửi đến các mục tiêu qua email lừa đảo.

Check Point đã truy xuất tệp cũng như các tải trọng tiếp theo được lưu trữ trên máy chủ của kẻ tấn công và phân tích cuộc tấn công đó.

Cuộc khai thác bắt đầu bằng tệp .url, được hiển thị bên dưới, có tham số URL trỏ đến iediagcmd.exe, một công cụ chẩn đoán hợp pháp trình duyệt Internet Explorer. Khi được thực thi, công cụ này sẽ khởi chạy nhiều lệnh chẩn đoán mạng khác nhau, chẳng hạn như route, ipconfig và netsh, để giúp khắc phục sự cố mạng.

Tuy nhiên, lỗ hổng này có thể khai thác được do cách Windows định vị và chạy các công cụ chẩn đoán dòng lệnh này.

Khi iediagcmd.exe được thực thi, các chương trình chẩn đoán Windows được khởi chạy bằng hàm .NET Process.Start(). Hàm này trước tiên sẽ tìm kiếm chương trình trong thư mục làm việc hiện tại của ứng dụng trước khi tìm kiếm các thư mục hệ thống Windows, như System32.

Trong cuộc tấn công này, khai thác .url độc hại sẽ đặt thư mục làm việc thành máy chủ WebDAV của kẻ tấn công, khiến công cụ iediagcmd.exe chạy các lệnh trực tiếp từ chia sẻ WebDav từ xa.

Điều này khiến iediagcmd.exe chạy chương trình route.exe giả mạo của kẻ tấn công từ máy chủ từ xa, cài đặt trình tải nhiều giai đoạn tùy chỉnh có tên là 'Horus Loader'.

Sau đó, trình tải sẽ thả tải trọng chính, 'Horus Agent', một bản cấy ghép C++ Mythic C2 tùy chỉnh hỗ trợ thực thi lệnh để lấy dấu vân tay hệ thống, thay đổi cấu hình, chèn mã shell và thao tác tệp.

Check Point cũng tìm thấy một số công cụ khai thác sau, gồm trình đổ tệp thông tin xác thực, trình ghi phím và cửa hậu thụ động bao gồm một dịch vụ C nhỏ nhằm thăm dò các tải trọng mã shell được mã hóa qua mạng.

Check Point nhấn mạnh sự phát triển của Stealth Falcon, một tác nhân đe dọa hoạt động ít nhất từ ​​năm 2012, tập trung vào hoạt động gián điệp.

Trước đây, các tác nhân đe dọa đã sử dụng các tác nhân Apollo tùy chỉnh, trong khi các công cụ Horus mới nhất của chúng tiên tiến hơn, khó phát hiện hơn và có tính mô-đun hơn, cung cấp khả năng ẩn danh và linh hoạt trong hoạt động.

Với việc khai thác tích cực CVE-2025-33053 trong các hoạt động gián điệp, các tổ chức quan trọng được khuyến nghị áp dụng các bản cập nhật Windows mới nhất càng sớm càng tốt.

Nếu không thể nâng cấp, nên chặn hoặc theo dõi chặt chẽ lưu lượng WebDAV để tìm các kết nối ra đáng ngờ đến các điểm cuối không xác định.