Sinds maart 2025 heeft een hackersgroep genaamd ‘Stealth Falcon’ een kwetsbaarheid in Windows WebDav RCE benut tijdens zero-day-aanvallen op defensie- en overheidsorganisaties in Turkije, Qatar, Egypte en Jemen.

Stealth Falcon, ook bekend als ‘FruityArmor’, staat bekend om cyberespionage gericht op organisaties in het Midden-Oosten. De kwetsbaarheid, CVE-2025-33053, betreft een remote code execution (RCE) die ontstaat door onjuiste verwerking van de werkdirectory in bepaalde systeemprogramma’s.

Wanneer een .url-bestand zijn WorkingDirectory instelt naar een externe WebDAV-pad, kan een ingebouwd Windows-hulpprogramma misleid worden om een schadelijk programma uit te voeren van die externe locatie in plaats van het legitieme.

Hierdoor kunnen aanvallers apparaatcode op afstand uitvoeren vanaf hun WebDAV-servers, zonder lokaal schadelijke bestanden achter te laten, wat hun acties onopvallend maakt.

Check Point Research ontdekte de kwetsbaarheid en Microsoft heeft deze gisteren gerepareerd in de nieuwste Patch Tuesday-update.

Check Point meldt dat de aanvallen mogelijk niet succesvol waren, maar de kwetsbaarheid is wel degelijk uitgebuit.

“In maart 2025 identificeerde Check Point Research een poging tot cyberaanval op een defensiebedrijf in Turkije,” aldus het rapport van Check Point. “De aanvallers gebruikten een niet eerder bekende techniek om bestanden op een door hen beheerde WebDAV-server uit te voeren door de werkdirectory van een legitiem Windows-hulpprogramma te manipuleren.”

De aanvalsmethode gebruikte een misleidend URL-bestand vermomd als een PDF, verstuurd via phishingmails. Check Point analyseerde het bestand en de daaropvolgende payloads op de server van de aanvallers.

De exploit begon met een .url-bestand waarvan de URL-parameter naar iediagcmd.exe wijst, een legitiem diagnosehulpmiddel van Internet Explorer. Wanneer uitgevoerd, start dit hulpprogramma verschillende netwerkdiagnoseopdrachten om netwerkproblemen op te lossen.

De kwetsbaarheid is echter te misbruiken door de manier waarop Windows deze diagnoseprogramma’s uitvoert.

Bij uitvoering start iediagcmd.exe de Windows-diagnoseprogramma’s via de .NET Process.Start()-functie, die eerst zoekt in de huidige werkdirectory van de applicatie voordat het in de Windows-systeemmappen zoekt.

In deze aanval stelde het schadelijke .url-bestand de werkdirectory in op de WebDAV-server van de aanvaller, waardoor het hulpprogramma opdrachten direct vanaf het externe WebDAV-station uitvoert.

Daardoor voert iediagcmd.exe het nep-route.exe-programma van de aanvaller uit vanaf de externe server, wat een aangepaste multi-stage loader genaamd ‘Horus Loader’ installeert.

De loader laat vervolgens de belangrijkste payload, ‘Horus Agent’, vallen, een aangepaste Mythic C2-implant die commandobewerkingen voor systeemherkenning, configuratiewijzigingen, shellcode-injectie en bestandsbewerkingen ondersteunt.

Check Point vond ook verschillende post-exploitatiehulpmiddelen zoals een credential dumper, een keylogger en een passieve achterdeur die luistert naar versleutelde shellcode-payloads via het netwerk.

Check Point onderstreept de evolutie van Stealth Falcon, een dreigingsactor sinds ten minste 2012 gericht op spionage. Waar voorheen Apollo-agenten werden gebruikt, zijn de nieuwste Horus-tools geavanceerder, ongrijpbaarder en modulair, wat zorgt voor operationele stealth en flexibiliteit.

Gezien de actieve uitbuiting van CVE-2025-33053 in spionageoperaties, wordt aanbevolen dat kritieke organisaties zo snel mogelijk de nieuwste Windows-updates toepassen.

Als updaten niet mogelijk is, is het raadzaam om WebDAV-verkeer naar verdachte eindpunten te blokkeren of nauwlettend te monitoren.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.