隐形猎鹰利用微软零日漏洞 CVE-2025-33053 - Check Point 研究分析

关键发现

Check Point 研究团队（CPR）发现 APT 组织"隐形猎鹰"（Stealth Falcon）开展的新攻击活动。攻击者使用.url 文件利用零日漏洞（CVE-2025-33053）从攻击者控制的 WebDAV 服务器执行恶意软件。

CVE-2025-33053 允许通过操纵工作目录实现远程代码执行。CPR 进行负责任的披露后，微软于 2025 年 6 月 10 日发布了补丁作为 6 月补丁星期二更新的一部分。

隐形猎鹰的活动主要集中在中东和非洲地区，在土耳其、卡塔尔、埃及和也门观察到针对政府和国防部门的高价值目标。

该组织继续使用鱼叉式网络钓鱼邮件作为感染方法，通常包含利用 WebDAV 和 LOLBins 部署恶意软件的链接或附件。

隐形猎鹰部署基于开源红队框架 Mythic 的自定义植入程序，这些程序要么源自现有代理，要么是我们称为 Horus 代理的私有变体。定制化不仅引入了反分析和反检测措施，还在最终交付更高级有效载荷之前验证目标系统。

此外，该威胁组织还采用多个先前未披露的自定义有效载荷和模块，包括键盘记录器、被动后门和 DC 凭据转储工具。

引言

2025 年 3 月，Check Point 研究团队发现针对土耳其一家国防公司的未遂网络攻击。威胁行为者使用先前未披露的技术，通过操纵合法 Windows 内置工具的工作目录，执行托管在他们控制的 WebDAV 服务器上的文件。

根据战术、技术和程序（TTP）、基础设施、代码重叠和目标特征，我们将此活动归因于隐形猎鹰威胁组织。

隐形猎鹰（也称为 FruityArmor）是一个高级持续性威胁（APT）组织，以进行网络间谍活动而闻名，至少自 2012 年以来一直活跃。多年来，观察到隐形猎鹰获取零日漏洞利用并使用复杂的自定义有效载荷在中东地区的网络间谍活动中瞄准实体。

本报告分析了隐形猎鹰近年来使用的感染链，包括基于 WebDAV 的 CVE-2025-33053 利用以交付 Horus 代理，这是一个为 Mythic C2（命令与控制）开源框架构建的自定义植入程序。

感染链：CVE-2025-33053 和.url 文件

一个名为 TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url（土耳其语翻译：TLM.005 伸缩桅杆损坏报告.pdf.url）的文件由与土耳其一家主要国防公司相关的来源提交到 VirusTotal。基于名称模式和隐形猎鹰攻击的先前历史，此.url 文件可能作为网络钓鱼邮件中的存档附件发送。

文件内容显示，URL 参数指向 iediagcmd.exe，这是 Internet Explorer 的合法诊断实用程序。通过操纵工作目录参数，攻击者能够从他们控制的 WebDAV 服务器执行恶意 route.exe 文件，而不是系统文件夹中的合法文件。

Route.exe - Horus 加载器

从攻击者 WebDAV 服务器执行的恶意文件 route.exe 充当多阶段加载器。它使用 Code Virtualizer 进行代码保护，将代码转换为自定义虚拟机（VM）指令，使逆向工程分析变得困难。

加载器具有高度可定制性，具有控制其各项功能的默认值格式'XXXXXX'：

• 清理先前阶段的工件

• 实施规避技术

• 投放并执行诱饵文档

• 加载最终有效载荷

Horus 代理：自定义 Mythic 植入程序

最终有效载荷是为 Mythic 构建的自定义代理，这是一个开源红队 C2 框架。该植入程序使用自定义 OLLVM，结合字符串加密和控制流平坦化，以及 API 哈希解析技术。

代理的 C2 配置字段使用 RC4 加密存储，支持 AES 加密和 HMAC 完整性验证的通信协议。

后渗透工具集

除了 Horus 代理外，研究还发现了多个先前未记录的工具：

DC 凭据转储工具：通过访问系统磁盘的 VHD 副本来窃取 Active Directory 和域控制器凭据相关文件，有效绕过文件锁定和标准安全保护。

被动后门：一个小型 C 语言应用程序，主要目的是监听传入请求并执行其中的 shellcode 有效载荷。

自定义键盘记录器：捕获击键并将其加密写入临时文件，需要与其他组件配合才能将输出文件发送到 C2 服务器。

结论

隐形猎鹰持续进化变得更加有效。他们近期的操作涉及使用零日漏洞（CVE-2025-33053），并通过利用 WebDAV、LOLBins、多阶段加载器以及本地和.NET 组件的混合展示了创新的感染链方法。

该组织还投入大量精力提高其有效载荷的隐蔽性和弹性，使用商业代码混淆和保护工具以及为不同有效载荷类型定制的自定义修改版本。

对于攻击基础设施，隐形猎鹰通过 NameCheap 注册商持续购买和重新利用旧的合法域名，通常是.net 或.com 顶级域名，这些具有清洁历史和 established 声誉的旧域名不太可能被安全系统标记为恶意。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手