/https://www.html.it/app/uploads/2025/06/malware-_.jpg "Stealth Falcon sfrutta una Zero-Day in WebDAV: colpiti quattro Paesi del Medio Oriente")
Il gruppo di cyberspionaggio noto come Stealth Falcon ha nuovamente attirato l'attenzione degli esperti di sicurezza informatica con una serie di attacchi mirati a istituzioni governative e di difesa in Medio Oriente. Utilizzando una nuova vulnerabilità zero-day, catalogata come CVE-2025-33053, il gruppo ha sfruttato una falla in Windows WebDAV per infiltrarsi nei sistemi di quattro paesi: Turchia, Qatar, Egitto e Yemen. Questa vulnerabilità consente l’esecuzione di codice remoto senza lasciare tracce, rendendo gli attacchi particolarmente difficili da rilevare.
Una campagna d'attacco avviata a marzo 2025
Secondo i ricercatori di Check Point Research, la campagna di attacco è stata avviata a marzo 2025 e si basa su una catena d’attacco complessa. Gli aggressori iniziano con email di phishing contenenti file URL camuffati da documenti PDF. Questi file malevoli sfruttano lo strumento diagnostico legittimo iediagcmd.exe, manipolandolo per eseguire comandi da server WebDAV sotto il loro controllo. La WebDAV vulnerabilità si dimostra quindi un elemento chiave per l'infiltrazione.
Metodo d'attacco
Il metodo di attacco prevede l’installazione del cosiddetto "Horus Loader", un caricatore multi-fase che introduce il payload principale, noto come Horus Agent. Questo malware avanzato offre un’ampia gamma di funzionalità, tra cui l’esecuzione di comandi, la raccolta di informazioni di sistema e l’iniezione di codice dannoso nei processi legittimi. La sua capacità di operare in modo furtivo e senza lasciare tracce rappresenta una minaccia significativa per le infrastrutture critiche.
La storia di Stealth Falcon
Attivo dal 2012, Stealth Falcon, noto anche come FruityArmor, si è specializzato in operazioni di spionaggio cibernetico. La loro evoluzione tecnologica, dai precedenti agenti Apollo all'attuale arsenale Horus, dimostra una continua ricerca di tecniche più sofisticate per eludere i sistemi di sicurezza. Questa crescita nella complessità delle loro operazioni sottolinea la necessità di misure di difesa più avanzate.
Microsoft corre ai ripari
Microsoft ha recentemente rilasciato una patch per correggere la vulnerabilità CVE-2025-33053, e gli esperti di sicurezza raccomandano l’implementazione immediata degli aggiornamenti. Per le organizzazioni che non possono aggiornare i loro sistemi tempestivamente, è essenziale monitorare o bloccare preventivamente il traffico WebDAV verso endpoint non verificati. Questo approccio può aiutare a mitigare il rischio di attacchi zero-day, che rappresentano una delle minacce più insidiose nel panorama della sicurezza informatica.
/https://www.html.it/app/uploads/2025/04/nvidia-fix.jpg)
/https://www.html.it/app/uploads/2025/07/telemessage.jpg)
/https://www.html.it/app/uploads/2025/07/wp_drafter_560304.jpg)
/https://www.html.it/app/uploads/2025/05/windows-11-2.jpg)