Stealth Falcon és Horus
A Check Point Research jelentése szerint a jól ismert Közép-Kelet és Észak-afrikai kiberkémkedéssel foglalkozó csoport, a Stealth Falcon (FruityArmor) kihasznált a Windows WebDAV szolgáltatásban található CVE‑2025‑33053 számú nulladik napi sebezhetőséget. A támadást egy álhivatkozásos .url fájlon keresztül indították, amely manipulálta az alkalmazás munkakönyvtárát, így egy támadó által irányított executable került futtatásra egy WebDAV szerverről.
A kihasználás mögött egy strukturált, többfázisú behatolás állt. Először a Horus Loader – C++-ban írt, virtuálgépes védelmi technikákkal ellátott multi-stage loader – aktiválódott. Ez először egy álcázott PDF-et jelenített meg, majd betöltötte a végső payloadot, a Horus Agentet, amely az Mythic C2 nyílt forrású rendszerre épül. Ez a kémprogram erőteljes obfuszkált, titkosított kommunikációval (AES + HMAC) és speciális shellcode injektáló parancsokkal (pl. shinjectchunked, stealth injection) rendelkezik.
A Horus Agent képes rendszer- és hálózati fingerprintingre (pl. WMI, process lista, akkumulátor státusz), keyloggerként való működésre, credential dumpra, és titkosított C2 kommunikációra, sőt még egy saját Domain Controller jelszó-lopó modult is tartalmaz.
A Microsoft a felfedezést követően 2025. június 10-én a Patch Tuesday keretében javította a hibát.
