في مارس 2025، كشف فريق أبحاث “تشيك بوينت” عن هجوم سيبراني استهدف شركة دفاع في تركيا، نفذته مجموعة التهديدات المتقدمة المستمرة المعروفة باسم “ستيلث فالكون”. استغلت هذه المجموعة ثغرة أمنية غير مكتشفة سابقًا في برنامج مايكروسوفت (CVE-2025-33053) باستخدام ملف .url لتنفيذ برمجيات خبيثة من خادم WebDAV الذي كانوا يتحكمون فيه. سمحت هذه الثغرة بتنفيذ تعليمات برمجية عن بُعد من خلال التلاعب بدليل العمل. عقب الكشف عن الثغرة، أصدرت مايكروسوفت تحديثًا أمنيًا في 10 يونيو 2025. تُعرف مجموعة “ستيلث فالكون”، الناشطة منذ عام 2012، بالتجسس السيبراني في منطقة الشرق الأوسط وأفريقيا، مع التركيز على القطاعات الحكومية والدفاعية. تستخدم المجموعة رسائل تصيد احتيالي مستهدفة تحتوي على روابط أو مرفقات لنشر البرمجيات الخبيثة باستخدام WebDAV وLOLBins. تشمل أدواتهم زراعة برمجيات مخصصة مثل “هوروس إيجنت”، المستندة إلى إطار عمل Mythic C2، بالإضافة إلى حمولات مخصصة متنوعة مثل برامج تسجيل ضربات المفاتيح وأبواب خلفية. تعتمد المجموعة على أساليب متقدمة لتجنب الاكتشاف، بما في ذلك إخفاء الشيفرة وتقنيات مضادة للتحليل. تدعم عملياتهم بنية تحتية تستخدم نطاقات شرعية معاد توظيفها، مما يعقد جهود الإسناد والاكتشاف.
كيف استغل فريق ستيلث فالكون ثغرة يوم الصفر في مايكروسوفت؟
