گروه هکری APT به نام “شاهین مخفی” از آسیب‌پذیری اجرای کد از راه دور در Windows WebDav برای حملات روز صفر از مارس ۲۰۲۵ علیه سازمان‌های دفاعی و دولتی در ترکیه، قطر، مصر و یمن سوءاستفاده کرده است.

شاهین مخفی (معروف به FruityArmor) یک گروه تهدید پایدار پیشرفته (APT) است که به انجام حملات جاسوسی سایبری علیه سازمان‌های خاورمیانه شهرت دارد.

این نقص امنیتی که با شناسه CVE-2025-33053 ردیابی می‌شود، یک آسیب‌پذیری اجرای کد از راه دور است که از مدیریت نادرست دایرکتوری کاری توسط برخی فایل‌های اجرایی مشروع سیستم ناشی می‌شود.

به طور خاص، هنگامی که یک فایل url. دایرکتوری کاری خود را به مسیر WebDAV راه دور تنظیم می‌کند، یک ابزار داخلی ویندوز می‌تواند فریب بخورد و به جای فایل اجرایی مشروع، یک فایل اجرایی مخرب را از آن مکان راه دور اجرا کند.

این امکان به مهاجمان اجازه می‌دهد دستگاه‌ها را مجبور به اجرای کد دلخواه از راه دور از سرورهای WebDAV تحت کنترل خود کنند، بدون اینکه فایل‌های مخرب را به صورت محلی رها کنند. این موضوع عملیات آنها را مخفیانه و گریزان می‌سازد.

این آسیب‌پذیری توسط Check Point Research کشف شد و مایکروسافت این نقص را در آخرین به‌روزرسانی Patch Tuesday که دیروز منتشر شد، برطرف کرد.

طبق گزارش Check Point، حملات تلاش شده ممکن است موفق نبوده باشند، اگرچه آسیب‌پذیری معتبر است و تأیید شده که مورد سوءاستفاده قرار گرفته است.

گزارش Check Point اشاره می‌کند: “در مارس ۲۰۲۵، Check Point Research یک تلاش حمله سایبری علیه یک شرکت دفاعی در ترکیه را شناسایی کرد. عوامل تهدید از یک تکنیک قبلاً افشا نشده برای اجرای فایل‌های میزبانی شده در سرور WebDAV تحت کنترل خود، با دستکاری دایرکتوری کاری یک ابزار داخلی مشروع ویندوز استفاده کردند.”

حملات تلاش شده از یک فایل URL فریبنده که به عنوان PDF جلوه داده شده بود، استفاده می‌کردند که از طریق ایمیل فیشینگ به اهداف ارسال می‌شد.

Check Point فایل و بارهای بعدی میزبانی شده در سرور مهاجم را برای تحلیل حمله تلاش شده بازیابی کرد.

سوءاستفاده با یک فایل url. شروع می‌شود که پارامتر URL آن به iediagcmd.exe اشاره دارد، یک ابزار تشخیص مشروع Internet Explorer. هنگام اجرا، این ابزار دستورات مختلف تشخیص شبکه مانند route، ipconfig و netsh را برای کمک به عیب‌یابی مشکلات شبکه راه‌اندازی می‌کند.

با این حال، این نقص به دلیل نحوه یافتن و اجرای این ابزارهای تشخیص خط فرمان توسط ویندوز قابل سوءاستفاده است.

هنگامی که iediagcmd.exe اجرا می‌شود، برنامه‌های تشخیص ویندوز با استفاده از تابع ()Process.Start دات‌نت راه‌اندازی می‌شوند. این تابع ابتدا در دایرکتوری کاری فعلی برنامه به دنبال برنامه می‌گردد قبل از جستجو در پوشه‌های سیستم ویندوز مانند System32.

در این حمله، سوءاستفاده url. مخرب دایرکتوری کاری را به سرور WebDAV مهاجم تنظیم می‌کند و باعث می‌شود ابزار iediagcmd.exe دستورات را مستقیماً از اشتراک WebDav راه دور اجرا کند.

این باعث می‌شود iediagcmd.exe برنامه route.exe جعلی مهاجم را از سرور راه دور اجرا کند که یک بارگذار چند مرحله‌ای سفارشی به نام “Horus Loader” را نصب می‌کند.

سپس بارگذار بار اصلی “Horus Agent” را رها می‌کند، یک ایمپلنت Mythic C2 سفارشی ++C که از اجرای دستورات برای انگشت‌نگاری سیستم، تغییرات پیکربندی، تزریق شل‌کد و عملیات فایل پشتیبانی می‌کند.

Check Point همچنین چندین ابزار پس از سوءاستفاده پیدا کرد، از جمله یک دامپر فایل اعتبارنامه، یک کی‌لاگر و یک درب پشتی غیرفعال متشکل از یک سرویس C کوچک که برای بارهای شل‌کد رمزگذاری شده از طریق شبکه گوش می‌دهد.

Check Point بر تکامل شاهین مخفی تأکید می‌کند، یک عامل تهدید که حداقل از سال ۲۰۱۲ فعال بوده و بر جاسوسی متمرکز است. قبلاً، عوامل تهدید از عوامل Apollo سفارشی شده استفاده می‌کردند، در حالی که آخرین ابزارهای Horus آنها پیشرفته‌تر، گریزان‌تر و ماژولارتر هستند و مخفی‌کاری و انعطاف‌پذیری عملیاتی را فراهم می‌کنند.

با توجه به سوءاستفاده فعال از CVE-2025-33053 در عملیات جاسوسی، به سازمان‌های حیاتی توصیه می‌شود که آخرین به‌روزرسانی‌های ویندوز را در اسرع وقت اعمال کنند.

اگر ارتقا غیرممکن است، توصیه می‌شود ترافیک WebDAV را برای اتصالات خروجی مشکوک به نقاط پایانی ناشناخته مسدود یا از نزدیک نظارت کنید.