Stealth Falcon explorou `CVE-2025-33053` no Windows para entregar implante Horus

Ataque contra empresa de defesa na Turquia usou arquivo .url, WebDAV controlado pelo operador e sequestro de ordem de busca para executar route.exe malicioso e carregar um agente customizado para Mythic C2.

Componente	Windows, arquivo de atalho `.url`, `iediagcmd.exe`, diretório WebDAV remoto e cadeia de carga Horus Loader/Horus Agent associada ao `CVE-2025-33053`.
Vetor	Arquivo `TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url` provavelmente enviado como anexo arquivado de phishing, com `WorkingDirectory` apontando para `\\summerartcamp[.]net@ssl@443/DavWWWRoot\OSYxaOjr`.
Impacto	Execução de binário controlado pelo operador em vez do `route.exe` legítimo do `system32`, seguida de carregamento em múltiplos estágios, injeção em `msedge.exe` e comunicação C2 criptografada.
Prioridade	Aplicar a correção de junho de 2025 para `CVE-2025-33053`, caçar execução de `.url` com WebDAV remoto e revisar telemetria de processos iniciados por `iediagcmd.exe` ou `CustomShellHost.exe`.
Artefatos	`route.exe`, `%temp%\TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf`, `C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe`, `kernel32.dll`, `ntdll.dll`, `shell32.dll` e exportação `_1`.
IoCs	Domínio `summerartcamp[.]net` em caminho WebDAV remoto usado como diretório de trabalho para acionar a ordem de busca de executáveis.

Resumo técnico

A atividade atribuída ao grupo Stealth Falcon combina exploração de vulnerabilidade no Windows, abuso de binário legítimo e uma cadeia de malware projetada para espionagem. Em março de 2025, uma tentativa de ataque contra uma empresa de defesa na Turquia usou um arquivo de atalho da Internet com extensão .url e nomeado como relatório técnico em turco. O arquivo direcionava a execução para iediagcmd.exe, utilitário legítimo de diagnóstico do Internet Explorer, mas também definia um diretório de trabalho remoto em WebDAV sob controle do operador. Essa condição fez com que a ordem de busca de executáveis priorizasse o diretório remoto e executasse um route.exe malicioso hospedado no WebDAV, em vez do binário legítimo localizado no system32.

A falha recebeu o identificador CVE-2025-33053 após divulgação responsável e foi corrigida em 10 de junho de 2025 no ciclo de atualizações de junho da Microsoft. O ponto central da técnica é a manipulação do diretório atual de um processo legítimo para interceptar a resolução de um executável chamado por esse processo. O abuso não depende de substituir arquivos locais do Windows; a carga maliciosa fica em um caminho remoto acessado por WebDAV, o que muda a superfície de detecção para eventos de atalho, resolução de caminho UNC, criação de processo e comunicação com servidor externo.

A cadeia observada entrega o Horus Agent, um implante customizado em C++ construído para operar com o framework Mythic C2. O agente representa uma evolução do uso anterior de implantes Apollo customizados pelo mesmo grupo e inclui ofuscação, resolução dinâmica de APIs, configuração C2 criptografada e comandos de pós-exploração. O conjunto de técnicas aponta para uma operação de espionagem direcionada, com iscas alinhadas ao setor de defesa, execução furtiva em múltiplos estágios e cuidado explícito para dificultar análise estática e reversão.

Fluxo técnico

O gatilho inicial é o arquivo TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url, cujo nome simula um relatório de dano em mastro telescópico. O campo URL do atalho aponta para iediagcmd.exe. Em uma execução normal, esse utilitário pode iniciar processos auxiliares para coletar diagnóstico de rede, incluindo comandos relacionados a ipconfig.exe, netsh.exe e route.exe. A condição explorada aparece quando o atalho define WorkingDirectory=\\summerartcamp[.]net@ssl@443/DavWWWRoot\OSYxaOjr. Como a busca feita por Process.Start() avalia primeiro o diretório atual do processo chamador, o route.exe remoto é encontrado antes do binário legítimo do sistema.

O route.exe malicioso atua como Horus Loader. Ele foi escrito em C++ e protegido com Code Virtualizer, mecanismo que transforma trechos de código em instruções de uma máquina virtual própria. A amostra analisada estava assinada, mas com assinatura antiga e sem carimbo de tempo TSA, condição que pode reduzir alertas automáticos focados apenas em binários sem assinatura. O loader possui parâmetros customizáveis, opções de limpeza de estágios anteriores e uma rotina de encerramento com erro lógico: em vez de matar processos anteriores esperados, tenta executar taskkill.exe /IM i /F e taskkill.exe /IM e /F, nomes que não correspondem aos estágios descritos.

Depois da execução, o loader mapeia manualmente kernel32.dll e ntdll.dll para dificultar análise e depuração. Ele também procura processos associados a soluções de segurança, comparando 109 nomes de processos de 17 fornecedores. O resultado dessa checagem alimenta uma variável global que representa o fornecedor detectado e pode condicionar a continuidade ou interrupção da execução, dependendo de flags internas. Em paralelo, o malware extrai uma isca PDF da seção .udata, grava o arquivo em %temp%\TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf e o abre por meio de cmd.exe, mantendo o usuário ocupado enquanto a cadeia maliciosa avança em segundo plano.

A carga principal fica na seção .xdata, mas não aparece diretamente como shellcode ou PE. O conteúdo decriptado surge como uma lista extensa de endereços IPv6, depois convertida em bytes por milhares de chamadas para RtlIpv6StringToAddressA, técnica conhecida como IPfuscation. O loader cria então um processo suspenso de C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe, aloca memória, grava a carga, altera o contexto da thread principal e prossegue com execução injetada. O shellcode resultante decripta outro bloco com cifra própria, descomprime uma DLL, faz o mapeamento manual em memória e chama a exportação _1.

O estágio final é o Horus Agent. O implante usa ofuscação semelhante a OLLVM, criptografia de strings e achatamento de fluxo de controle. As strings são codificadas por uma cifra simples que subtrai 39 de cada caractere, mas a recuperação é dificultada porque os dados podem estar na pilha ou na seção .rdata. O agente também emprega API hashing e resolve estruturas de importação sob demanda para operações como decriptação, rede, COM e manipulação de tokens. Antes de iniciar atividade maliciosa real, ele executa uma função com chamadas aparentes a DLLs comuns do Windows, como GDI32, Winspool e User32, sem que essas chamadas sejam realmente executadas em tempo de execução, criando ruído para motores estáticos.

Superfície afetada

A exposição principal está em ambientes Windows nos quais um usuário consiga abrir um arquivo .url manipulado e o sistema aceite a resolução de executáveis a partir de um diretório WebDAV remoto definido como diretório de trabalho. A cadeia não exige que o atacante grave route.exe no host antes da execução inicial; o binário malicioso fica no compartilhamento WebDAV e é escolhido por precedência de busca. Isso torna especialmente sensíveis os controles de e-mail, filtragem de anexos arquivados, inspeção de atalhos da Internet, bloqueio de WebDAV para destinos não confiáveis e regras de criação de processo envolvendo utilitários nativos.

A atividade também menciona possível abuso de CustomShellHost.exe em padrão semelhante, fazendo com que explorer.exe seja iniciado a partir do diretório de trabalho controlado. Embora esse segundo caminho apareça como artefato associado e não como o fluxo principal do ataque à empresa turca, ele amplia o escopo de hunting para outros binários legítimos que podem chamar executáveis por nome relativo. A superfície pós-exploração inclui processos de navegador usados como hospedeiros de injeção, artefatos temporários de isca PDF e comunicação HTTP compatível com o perfil httpx do Mythic.

A operação mira alvos de alto valor no Oriente Médio e, no caso descrito, uma organização do setor de defesa na Turquia. A atribuição a Stealth Falcon se apoia em TTPs, infraestrutura, sobreposição de código e perfil de alvos. Esse limite é importante para equipes de inteligência: a atribuição é técnica e comportamental, não deve ser tratada como prova isolada em cada alerta. O valor operacional para defesa está em cruzar o padrão de entrega, a manipulação de WebDAV, a cadeia Horus e a telemetria de C2, em vez de depender apenas do nome do ator.

Hosts Windows que executaram arquivos .url recebidos como anexo arquivado e com caminho WebDAV em WorkingDirectory.
Processos filhos inesperados de iediagcmd.exe, especialmente route.exe iniciado fora de C:\Windows\System32.
Criação suspensa e injeção em msedge.exe no caminho C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe.
Acesso ao caminho remoto \\summerartcamp[.]net@ssl@443/DavWWWRoot\OSYxaOjr ou a outros WebDAV externos com padrão semelhante.

Hunting e telemetria

A investigação deve começar por eventos de abertura de .url e parsing de conteúdo de atalhos da Internet em e-mail, gateway, EDR e disco. Procure campos URL apontando para binários nativos e WorkingDirectory apontando para UNC/WebDAV externo. A combinação é mais forte que qualquer sinal isolado: iediagcmd.exe pode ser legítimo, WebDAV pode existir em ambientes corporativos e route.exe é componente esperado do Windows, mas a sequência de atalho, diretório remoto e resolução de executável por nome relativo forma um padrão de exploração claro.

Em endpoint, correlacione criação de processo de iediagcmd.exe com filhos chamados route.exe, ipconfig.exe ou netsh.exe, validando o caminho real do executável carregado. Um route.exe executado a partir de WebDAV, cache remoto ou diretório diferente de system32 merece contenção imediata. Também vale procurar cmd.exe abrindo o PDF de isca em %temp%, pois essa ação ocorre durante a fase em que o loader mantém a vítima ocupada. A presença do arquivo de isca com o nome turco observado não é necessária para confirmar a técnica, mas é um artefato forte quando aparece no mesmo host.

Para memória e comportamento, priorize sinais de injeção em msedge.exe, criação de processo suspenso, alteração de contexto de thread, alocação de memória executável e mapeamento manual de DLL. A conversão massiva de strings IPv6 por RtlIpv6StringToAddressA é incomum em aplicações comuns e pode apoiar detecção comportamental quando combinada com decriptação de payload. No tráfego de rede, o Horus Agent registra o implante no C2 enviando informações iniciais do host, incluindo usuário, sistema operacional e domínio, em JSON criptografado com AES e protegido por HMAC-SHA256. O pacote inclui UUID, IV, conteúdo cifrado e HMAC, depois é codificado em base64 e enviado em query string.

Após o check-in, a comunicação passa a usar um identificador de bot recebido do servidor e entra em laço contínuo para buscar tarefas. O comando survey realiza enumeração do sistema, enquanto shinject permite injetar shellcode em processo remoto com métodos configuráveis. Essa combinação orienta hunting pós-comprometimento: novas tarefas podem se manifestar como alocações de memória, criação de threads, manipulação de tokens e execução em processos sob %SYSTEMROOT%\System32. A ausência de um hash no material analisado impede caça por indicador criptográfico específico; a resposta deve privilegiar relações de processo, caminhos, WebDAV e padrões de comunicação.

Arquivos .url com URL para iediagcmd.exe e WorkingDirectory em UNC/WebDAV externo.
Execução de route.exe a partir de caminho que não seja C:\Windows\System32, especialmente sob DavWWWRoot.
Criação de %temp%\TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf seguida de abertura por cmd.exe.
Processo msedge.exe criado suspenso, com gravação de memória e desvio de contexto de thread.
Tráfego HTTP com blob base64 em query string, contendo pacote criptografado com UUID, IV, AES e HMAC-SHA256.

Mitigação

A primeira ação é aplicar a atualização de junho de 2025 que corrige CVE-2025-33053 em sistemas Windows afetados. A correção reduz a condição explorada pela manipulação de diretório de trabalho, mas não substitui controles de exposição. Organizações devem bloquear ou restringir WebDAV para destinos externos quando não houver necessidade operacional, inspecionar arquivos .url em anexos e impedir que atalhos recebidos por e-mail definam diretórios de trabalho remotos. Também é recomendável tratar arquivos arquivados contendo .url como conteúdo executável, não como documento passivo.

Na contenção de um host suspeito, isole o endpoint antes de remover artefatos, preserve memória e colete árvore de processos. Verifique se iediagcmd.exe ou CustomShellHost.exe iniciaram executáveis por nome relativo e recupere o conteúdo de atalhos recentes. Revise conexões ao domínio summerartcamp[.]net, caminhos WebDAV em logs de proxy e eventos de autenticação ou acesso WebClient. Caso haja evidência de execução do Horus Loader, a investigação deve assumir possível execução em memória e comunicação C2, mesmo que os arquivos temporários já tenham sido apagados.

Para endurecimento contínuo, crie regras de EDR que relacionem binários LOLBin com diretórios de trabalho remotos, não apenas com linha de comando. A lógica defensiva deve capturar o encadeamento completo: .url aberto por usuário, utilitário nativo iniciado, filho resolvido fora do diretório esperado, PDF de isca no %temp%, processo de navegador usado como hospedeiro e tráfego C2 codificado. Equipes de AppSec e engenharia de plataforma também devem revisar políticas de e-mail, download e execução para que extensões duplas ou nomes de documentos com .pdf.url não passem como arquivos de leitura comum.

A rotação de credenciais deve ser considerada se houver confirmação de execução do Horus Agent, porque o implante inclui capacidades de enumeração, manipulação de token e execução de tarefas de pós-exploração. O material analisado não confirma vazamento de dados nem exfiltração, portanto a comunicação interna deve diferenciar comprometimento potencial, tentativa bloqueada e atividade confirmada. A validação final exige comparar telemetria de endpoint, proxy, DNS, e-mail e identidade no período da execução, mantendo a hipótese de espionagem direcionada enquanto não houver evidência de impacto mais amplo.

Instalar a correção de junho de 2025 para CVE-2025-33053 em todos os sistemas Windows aplicáveis.
Bloquear ou restringir WebDAV externo e alertar para DavWWWRoot em caminhos UNC iniciados por estáções de trabalho.
Criar detecção para .url com WorkingDirectory remoto e execução de iediagcmd.exe seguida de route.exe.
Isolar hosts com evidência de Horus Loader, coletar memória e revisar injeção em msedge.exe.
Revisar anexos arquivados contendo .url, especialmente nomes que simulem documentos .pdf.

Stealth Falcon explorou `CVE-2025-33053` no Windows para entregar implante Horus

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Stealth Falcon explorou `CVE-2025-33053` no Windows para entregar implante Horus

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato