L’article publié par BleepingComputer met en lumière une série d’attaques menées par le groupe APT ‘Stealth Falcon’ exploitant une vulnérabilité RCE dans Windows WebDav.
Depuis mars 2025, le groupe a ciblé des organisations de défense et gouvernementales en Turquie, au Qatar, en Égypte et au Yémen. Stealth Falcon, également connu sous le nom de ‘FruityArmor’, est réputé pour ses attaques de cyberespionnage contre des entités du Moyen-Orient.
La vulnérabilité, identifiée sous le code CVE-2025-33053, provient d’une mauvaise gestion du répertoire de travail par certains exécutables système légitimes de Windows. En manipulant un fichier .url pour définir son répertoire de travail sur un chemin WebDAV distant, un outil intégré de Windows peut être trompé pour exécuter un exécutable malveillant depuis cet emplacement distant.
Cette faille permet aux attaquants de forcer l’exécution de code arbitraire à distance depuis des serveurs WebDAV sous leur contrôle, sans déposer de fichiers malveillants localement, rendant ainsi leurs opérations discrètes et difficiles à détecter. La vulnérabilité a été découverte par Check Point Research, et Microsoft a corrigé cette faille dans la dernière mise à jour Patch Tuesday publiée récemment. Cet article constitue une analyse technique des événements récents liés à cette vulnérabilité.
🧠 TTP et IOC détecté
TTP
Exploitation de vulnérabilité RCE (CVE-2025-33053) via WebDAV pour exécution de code arbitraire à distance, ciblage d’organisations de défense et gouvernementales, utilisation de fichiers .url pour définir un répertoire de travail sur un chemin WebDAV distant
🔗 Source originale : https://www.bleepingcomputer.com/news/security/stealth-falcon-hackers-exploited-windows-webdav-zero-day-to-drop-malware/