Un sofisticato attacco informatico, attribuito al gruppo APT Stealth Falcon, ha sfruttato una vulnerabilità zero-day di Windows finora sconosciuta, identificata come CVE-2025-33053, per colpire un’importante organizzazione di difesa in Turchia. Lo ha rivelato Check Point Research (CPR), che ha scoperto e segnalato il problema, spingendo Microsoft a rilasciare una patch il 10 giugno 2025, in occasione del Patch Tuesday.
Un attacco silenzioso e mirato
L’attacco ha avuto origine da un semplice file .url travestito da documento PDF, apparentemente legato a danni subiti da attrezzature militari. Il file, probabilmente inviato tramite phishing, attivava silenziosamente un codice malevolo ospitato su un server WebDAV controllato dagli aggressori. Il file sfruttava strumenti nativi di Windows per eludere i sistemi di sicurezza e agire senza destare sospetti, senza neppure scrivere codice sul disco del sistema bersaglio nella fase iniziale.
Attraverso l’abuso dell’ordine di ricerca dei file e l’uso di utility Windows come CustomShellHost.exe, il gruppo ha eseguito malware remoto facendo leva su componenti legittimi del sistema operativo.
Horus Loader e Horus Agent: il cuore dell’operazione
Una volta attivato, l’attacco ha proseguito con Horus Loader, un loader multistadio costruito ad hoc, progettato per evitare l’analisi, cancellare le tracce della prima fase e ingannare l’utente con documenti esca. L’obiettivo era arrivare alla fase finale: il rilascio di Horus Agent, un impianto spyware personalizzato costruito su misura per il framework open source Mythic, utilizzato tipicamente nei test di penetrazione dai red team.
Horus Agent è scritto in C++, dotato di un set ridotto di comandi per eludere il rilevamento, ed è in grado di connettersi al proprio server C2, operando con estrema discrezione. La sua architettura dimostra un alto livello di conoscenza tecnica degli ambienti target, mirando a collezionare informazioni sensibili e a rimanere invisibile il più a lungo possibile.
Chi è Stealth Falcon
Conosciuto anche come FruityArmor, Stealth Falcon è un gruppo APT attivo almeno dal 2012, con legami sospetti con apparati statali e operazioni in Medio Oriente e Africa. È noto per l’impiego di exploit zero-day, malware personalizzati e infrastrutture di attacco mirate. La campagna attuale dimostra una padronanza completa delle tecniche di evasione e un’attenzione maniacale alla selezione dei bersagli.
Difendersi: raccomandazioni e rilevamenti
Check Point consiglia di monitorare l’infrastruttura per:
- File
.urlo.lnksospetti mascherati da PDF. - Attività anomala da strumenti integrati come
iediagcmd.exeoCustomShellHost.exe. - Connessioni a server WebDAV da processi di sistema.
- Esecuzione di utility di rete da postazioni remote o in contesti imprevisti.
Le tecnologie di protezione Check Point (tra cui Intrusion Prevention System, Threat Emulation e Harmony Endpoint) sono già in grado di rilevare e bloccare gli attacchi che sfruttano la CVE-2025-33053. CPR continuerà a monitorare l’attività globale e fornirà aggiornamenti man mano che il panorama delle minacce evolve.
Implicazioni strategiche
Questo attacco evidenzia ancora una volta come vulnerabilità sottili ma profonde – anche in strumenti apparentemente innocui – possano essere sfruttate da attori avanzati per condurre operazioni di spionaggio digitale ad alto valore. L’uso combinato di tecniche native del sistema, infrastrutture open source adattate e exploit zero-day rende Stealth Falcon una minaccia concreta e sofisticata nel panorama della cybersecurity globale.
