Świat cyberbezpieczeństwa znów został zaskoczony. Grupa Stealth Falcon przeprowadziła zaawansowaną kampanię cyberszpiegowską, wykorzystującą nową lukę typu zero-day w systemie Windows (CVE-2025-33053). To jedna z najbardziej wyrafinowanych operacji cyberszpiegowskich ostatnich lat – uważają stojący za odkryciem analitycy Check Point Research. Co niepokojące, ataki tego typu coraz częściej wymykają się poza granice tradycyjnych celów, także w stronę państw Europy Środkowo-Wschodniej.
To szczególnie niepokojące, gdyż z danych Check Point Software wynika, iż co tydzień polskie organizacje atakowane są średnio 1700 razy! W sektorze administracyjnym i wojskowym odsetek ten pozostało wyższy i sięga blisko 1900 ataków. Część z nich bywa dotkliwa – w Polsce w ostatnich latach mieliśmy już do czynienia z poważnymi incydentami: zaatakowano Polską Agencję Kosmiczną (POLSA), przeprowadzano niezliczone ataki DDoS, atakowano administrację oraz uczelnie wyższe. Jednak kampania Stealth Falcon to zupełnie inny poziom. Nie była to kradzież danych dla okupu czy złośliwe blokowanie stron internetowych, tylko precyzyjna operacja szpiegowska.
Jedno kliknięcie myszki. Użytkownik właśnie otworzył niewinnie wyglądający skrót do pliku PDF opisującego uszkodzenia wojskowego sprzętu. Jednak w rzeczywistości rozpoczął się cyberatak, i to taki, którego ślady w systemie są niemal niemożliwe do wykrycia! Tak wyglądały kulisy nowej, kampanii cyberszpiegowskiej prowadzonej przez grupę Stealth Falcon. Według najnowszego raportu Check Point Research, wykorzystano w niej nieznaną wcześniej lukę typu „zero-day” w systemie Windows (CVE-2025-33053), którą Microsoft załatał dopiero 10 czerwca 2025 roku.
W trakcie otwierania pliku uruchamiał się specjalnie zaprojektowany program tzw. Horus Loader, który usuwał ślady wcześniejszych etapów infekcji. Fałszywy dokument PDF otwierany był jedynie „na pokaz”, a w tle instalowano końcowy moduł szpiegowski – Horus Agent. Ten ostatni to niestandardowy backdoor napisany w języku C++, zaprojektowany specjalnie dla platformy Mythic, wykorzystywanej zwykle przez zespoły testujące zabezpieczenia (tzw. red teamy). Zdaniem analityków Check Point Research, w rękach cyberprzestępców stał się jednak narzędziem do cichego zbierania danych, śledzenia zachowań użytkownika i uruchamiania kolejnych złośliwych poleceń.
W tej historii nie mówimy o typowym wirusie z internetu. Horus Agent to zaawansowane narzędzie szpiegowskie, zdolne do działania tygodniami bez wykrycia, dostosowujące się do środowiska systemowego, a choćby ukrywające się pod postacią takich plików jak „explorer.exe” czy „ipconfig.exe”, które są powszechnie obecne na komputerach z Windows.
Zagrożenie jest poważne. Luki w systemie Windows, takie jak CVE-2025-33053, mogą dotyczyć milionów urządzeń – zarówno w firmach, jak i w administracji publicznej. Microsoft wypuścił już poprawkę, ale jak pokazuje historia, nie każdy użytkownik zainstaluje ją na czas. Tym razem celem była Turcja, ale z technicznego punktu widzenia równie dobrze mógł to być urząd wojewódzki, firma z sektora energetycznego czy polskie Ministerstwo Obrony.
Check Point zareagował błyskawicznie, aktualizując swoje systemy ochrony i publikując zalecenia dla firm. Eksperci radzą, by monitorować skrzynki e-mail pod kątem załączników zawierających podejrzane skróty, obserwować połączenia z zewnętrznymi serwerami WebDAV oraz weryfikować działanie systemowych procesów, które mogą działać w nietypowych kontekstach.
Kampania hakerska była kolejnym sygnałem ostrzegawczym, nie tylko dla rządów, ale także dla sektora prywatnego. Jak pokazuje przykład Stealth Falcon, zaawansowane narzędzia szpiegowskie nie są już zarezerwowane wyłącznie dla supermocarstw. Dziś wystarczy wiedza, infrastruktura i determinacja, by zagrozić stabilności choćby największych systemów. W związku z powyższym warto zastanowić się, czy Polska jest gotowa na kolejne cyberuderzenie? Czas pokaże. Ale jedno jest pewne – ignorowanie aktualizacji bezpieczeństwa i wiara w to, iż „nas to nie dotyczy”, to najkrótsza droga do katastrofy, w szczególności w okresie szalejącego konfliktu za naszą wschodnią granicą.
