Una vulnerabilidad de día cero para el ciberespionaje

Stealth Falcon no es milenario, pero está activo desde al menos 2012. Se lo considera un grupo de Amenazas Persistentes Avanzadas (APT) vinculado con el gobierno de Emiratos Árabes Unidos y ha protagonizado una “sofisticada campaña de ciberespionaje” que fue identificada por Check Point Software. La vulnerabilidad de Zero-Day de Microsoft en la que se basaba, llamada CVE-2025-33053, ya fue subsanada por Microsoft en el parche del 10 de junio.

Check Point identificó la vulnerabilidad en el mes de marzo, “durante un intento de ataque contra una importante organización de defensa en Turquía”. El ciberataque se inició con un archivo de acceso directo con extensión “.url”, oculto como un documento PDF y relacionado con daños en equipamiento militar. El archivo “activaba silenciosamente un malware alojado en un servidor WebDAV controlado por los atacantes, abusando de herramientas legítimas de Windows”.

La compañía detalla que la amenaza incluía un cargador personalizado Horus Loader, que utilizaba técnicas de ocultación y evasión, como eliminar rastros o abrir documentos señuelo, para desplegar el n implante final Horus Agent. Al parecer, éste se creó desde cero en C++, específicamente diseñado para el sigilo, la evasión y la selección de objetivos de alto valor.

Eusebio Nieva, director técnico de Check Point Software para España y Portugal, explica que “desde Check Point Software hemos desarrollado y desplegado protecciones para mantener a nuestros clientes seguros antes de que la vulnerabilidad se hiciera pública. Las soluciones Intrusion Prevention System, Threat Emulation y Harmony Endpoint detectan y bloquean intentos de explotación dirigidos a esta brecha de seguridad”.