{"id":177683,"date":"2025-06-16T10:00:37","date_gmt":"2025-06-16T13:00:37","guid":{"rendered":"https:\/\/nuevoitsitio1.wpenginepowered.com\/co\/sin-categoria\/check-point-research-detecta-una-nueva-campana-de-espionaje-con-un-zero-day-de-microsoft-atribuida-a-stealth-falcon\/"},"modified":"2025-11-21T21:22:16","modified_gmt":"2025-11-22T00:22:16","slug":"check-point-research-detecta-una-nueva-campana-de-espionaje-con-un-zero-day-de-microsoft-atribuida-a-stealth-falcon","status":"publish","type":"post","link":"https:\/\/www.itsitio.com\/co\/seguridad\/check-point-research-detecta-una-nueva-campana-de-espionaje-con-un-zero-day-de-microsoft-atribuida-a-stealth-falcon\/","title":{"rendered":"Check Point Research detecta una nueva campa\u00f1a de espionaje con un zero-day de Microsoft atribuida a Stealth Falcon"},"content":{"rendered":"

Check Point Research, la divisi\u00f3n de Inteligencia de Amenazas Check Point Software Technologies Ltd.<\/a>\u00a0ha descubierto una vulnerabilidad cr\u00edtica en Windows (CVE-2025-33053)<\/strong>, previamente desconocida, que estaba siendo explotada activamente en una sofisticada campa\u00f1a de ciberespionaje<\/strong> llevada a cabo por el grupo APT conocido como Stealth Falcon<\/strong>.<\/p>\n

La campa\u00f1a comenz\u00f3 con un archivo de acceso directo (.url)<\/strong> disfrazado de documento PDF relacionado con da\u00f1os en equipamiento militar. Este archivo malicioso activaba silenciosamente un malware<\/strong> alojado en un servidor WebDAV controlado por los atacantes, abusando de herramientas leg\u00edtimas de Windows. Los investigadores identificaron esta amenaza en marzo de 2025, durante un intento de ataque contra una importante organizaci\u00f3n de defensa en Turqu\u00eda<\/strong>. Tras la divulgaci\u00f3n responsable a Microsoft, la compa\u00f1\u00eda clasific\u00f3 la vulnerabilidad como CVE-2025-33053 y public\u00f3 un parche el 10 de junio de 2025<\/strong> como parte de su actualizaci\u00f3n mensual Patch Tuesday<\/em>.<\/p>\n

\"El
El malware se activaba desde un servidor WebDAV remoto tras abrir un archivo .url disfrazado de PDF, sin dejar rastro en la m\u00e1quina infectada durante las primeras fases.<\/figcaption><\/figure>\n

Campa\u00f1a avanzada y dirigida<\/strong><\/span><\/h2>\n

El ataque inclu\u00eda un cargador personalizado<\/strong>, conocido como Horus Loader<\/strong>, dise\u00f1ado para eliminar rastros<\/strong>, evadir mecanismos de detecci\u00f3n<\/strong>, abrir documentos se\u00f1uelo<\/strong> y desplegar un implante final<\/strong> llamado Horus Agent<\/strong>. Este \u00faltimo es un implante privado<\/strong>, desarrollado espec\u00edficamente para el marco Mythic<\/strong> de comando y control, ampliamente usado por equipos de red team. A diferencia de otros agentes conocidos, Horus Agent<\/strong> fue construido desde cero en C++<\/strong>, con un dise\u00f1o centrado en el sigilo<\/strong>, la evasi\u00f3n<\/strong> y la activaci\u00f3n selectiva<\/strong> en objetivos de alto valor.<\/p>\n

El uso de componentes leg\u00edtimos del sistema<\/strong> como iediagcmd.exe o CustomShellHost.exe, sumado al aprovechamiento de WebDAV<\/strong>, permiti\u00f3 a los atacantes ejecutar c\u00f3digo remoto sin necesidad de depositar archivos en la m\u00e1quina v\u00edctima en las primeras fases del ataque.<\/p>\n

Para determinar si el entorno ha sido vulnerado, Check Point Research recomienda examinar los registros y sistemas de monitorizaci\u00f3n en busca de lo siguiente:<\/p>\n