Investigadores de Check Point Research identificaron una campaña de ciberespionaje que explotaba una vulnerabilidad zero-day en Windows, atribuida al grupo Stealth Falcon, utilizando herramientas legítimas del sistema para ejecutar malware desde servidores remotos.

Check Point Research detecta una nueva campaña de espionaje con un zero-day de Microsoft atribuida a Stealth Falcon

La campaña explotó una vulnerabilidad crítica para ejecutar malware desde servidores remotos usando herramientas legítimas de Windows.

Redacción de ITSitio 16 de junio de 2025

2 minutos de lectura

Check Point Research, la división de Inteligencia de Amenazas Check Point Software Technologies Ltd. ha descubierto una vulnerabilidad crítica en Windows (CVE-2025-33053), previamente desconocida, que estaba siendo explotada activamente en una sofisticada campaña de ciberespionaje llevada a cabo por el grupo APT conocido como Stealth Falcon.

La campaña comenzó con un archivo de acceso directo (.url) disfrazado de documento PDF relacionado con daños en equipamiento militar. Este archivo malicioso activaba silenciosamente un malware alojado en un servidor WebDAV controlado por los atacantes, abusando de herramientas legítimas de Windows. Los investigadores identificaron esta amenaza en marzo de 2025, durante un intento de ataque contra una importante organización de defensa en Turquía. Tras la divulgación responsable a Microsoft, la compañía clasificó la vulnerabilidad como CVE-2025-33053 y publicó un parche el 10 de junio de 2025 como parte de su actualización mensual Patch Tuesday.

El malware se activaba desde un servidor WebDAV remoto tras abrir un archivo .url disfrazado de PDF, sin dejar rastro en la máquina infectada durante las primeras fases.

Campaña avanzada y dirigida

El ataque incluía un cargador personalizado, conocido como Horus Loader, diseñado para eliminar rastros, evadir mecanismos de detección, abrir documentos señuelo y desplegar un implante final llamado Horus Agent. Este último es un implante privado, desarrollado específicamente para el marco Mythic de comando y control, ampliamente usado por equipos de red team. A diferencia de otros agentes conocidos, Horus Agent fue construido desde cero en C++, con un diseño centrado en el sigilo, la evasión y la activación selectiva en objetivos de alto valor.

El uso de componentes legítimos del sistema como iediagcmd.exe o CustomShellHost.exe, sumado al aprovechamiento de WebDAV, permitió a los atacantes ejecutar código remoto sin necesidad de depositar archivos en la máquina víctima en las primeras fases del ataque.

Para determinar si el entorno ha sido vulnerado, Check Point Research recomienda examinar los registros y sistemas de monitorización en busca de lo siguiente:

Correos electrónicos con archivos adjuntos comprimidos que incluyan un archivo .URL o .LNK aparentemente inofensivo.
Conexiones inusuales o no identificadas a servidores WebDAV iniciadas por procesos predeterminados de Windows.
Uso de herramientas incorporadas como iediagcmd.exe y CustomShellHost.exe, que inician procesos secundarios desde ubicaciones remotas o actúan en contextos inesperados, como ser activadas desde máquinas remotas o encontrarse en endpoints donde su ejecución no se espera.
Procesos disfrazados como utilidades del sistema legítimas como route.exe, ipconfig.exe, netsh.exe o explorer.exe, ejecutados desde ubicaciones remotas.

“Desde Check Point Software hemos desarrollado y desplegado protecciones para mantener a nuestros clientes seguros antes de que la vulnerabilidad se hiciera pública”, ha explicado Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Las soluciones Intrusion Prevention System, Threat Emulation y Harmony Endpoint detectan y bloquean intentos de explotación dirigidos a esta brecha de seguridad”.