O Stealth Falcon é um grupo de ameaças, ativo desde 2012, que tem como alvo atingir ativistas políticos e jornalistas no Médio Oriente. Alguns analistas associam o projeto ao Raven, uma iniciativa que supostamente emprega ex-agentes da NSA.
Informações técnicas limitadas sobre o Stealth Falcon têm sido divulgadas, incluindo uma análise ao componente principal do malware – um backdoor baseado no Powershell, distribuído através de um documento incluído num mail malicioso.
Os investigadores da ESET descobriram um backdoor executável não reportado, chamado Win32/StealthFalcon. Foram detetados alguns ataques com este malware nos Emirados Árabes Unidos, Arábia Saudita, Tailândia e Holanda. No último caso, o alvo era uma missão diplomática de um país do Médio Oriente.
A investigação da ESET detetou semelhanças entre o backdoor executável recém-descoberto e o script do PowerShell com recursos de backdoor, anteriormente atribuídos ao grupo Stealth Falcon. Os investigadores consideram as semelhanças uma forte evidência e acreditam que ambas as backdoors são trabalho do mesmo grupo.
O Win32/StealthFalcon usa uma técnica bastante invulgar para se comunicar com o seu servidor C&C: o componente standard do Windows, o Background Intelligent Transfer Service (BITS).
Quando comparado com a comunicação tradicional através de funções de API, o mecanismo BITS é exposto através de uma interface COM e, como tal, é mais difícil de detetar. Para além disso, este método é confiável e furtivo, e é mais provável que seja permitido pelas firewalls do host.
Para além da invulgar forma de comunicação C&C, o Win32/StealthFalcon possui algumas técnicas avançadas que visam impedir a deteção/análise, garantindo a persistência e dificultando a análise forense.