En mars 2025, Check Point Research a révélé une cyberattaque visant une entreprise de défense en Turquie, orchestrée par le groupe APT Stealth Falcon. Ce groupe a exploité une vulnérabilité zero-day dans Microsoft (CVE-2025-33053) à travers un fichier .url pour exécuter un logiciel malveillant depuis un serveur WebDAV sous leur contrôle. Cette faille permettait l’exécution de code à distance en manipulant le répertoire de travail. Suite à la divulgation de cette vulnérabilité, Microsoft a publié un correctif le 10 juin 2025. Actif depuis 2012, Stealth Falcon est connu pour ses activités de cyberespionnage au Moyen-Orient et en Afrique, ciblant principalement les secteurs gouvernementaux et de la défense. Le groupe utilise des emails de spear-phishing contenant des liens ou des pièces jointes pour déployer des logiciels malveillants via WebDAV et LOLBins. Parmi leurs outils figurent des implants personnalisés tels que l’agent Horus, basé sur le cadre Mythic C2, ainsi que divers programmes malveillants sur mesure, comme des enregistreurs de frappe et des portes dérobées. Le groupe utilise des méthodes sophistiquées pour échapper à la détection, y compris l’obfuscation de code et des techniques anti-analyse. Leurs opérations s’appuient sur une infrastructure utilisant des domaines légitimes détournés, rendant l’attribution et la détection particulièrement complexes.
Comment Stealth Falcon a-t-il exploité une vulnérabilité zero-day de Microsoft ?
