La explotación de día cero de una descompostura de seguridad ahora parcheada en Google Chrome llevó a la distribución de una utensilio relacionada con el espionaje del proveedor italiano de servicios y tecnología de la información Memento Labs, según nuevos hallazgos de Kaspersky.
La vulnerabilidad en cuestión es CVE-2025-2783 (puntuación CVSS: 8,3), un caso de escape de sandbox que la compañía reveló en marzo de 2025 como objeto de explotación activa como parte de una campaña denominada Operación ForoTroll dirigido a organizaciones en Rusia. El orden incluso es rastreado como TaxOff/Team 46 por Positive Technologies y Prosperous Werewolf por BI.ZONE. Se sabe que está activo desde al menos febrero de 2024.
La ola de infecciones implicó el emisión de correos electrónicos de phishing que contenían enlaces personalizados de corta duración que invitaban a los destinatarios al foro Primakov Readings. Hacer clic en los enlaces a través de Google Chrome o un navegador web basado en Chromium fue suficiente para activar un exploit para CVE-2025-2783, lo que permitió a los atacantes romper los límites del software y entregar herramientas desarrolladas por Memento Labs.
Con sede en Milán, Memento Labs (incluso fino como mem3nt0) se formó en abril de 2019 tras la fusión de InTheCyber Group y HackingTeam (incluso conocido como Hacking Team), el posterior de los cuales tiene un historial de traspaso de capacidades ofensivas de intrusión y vigilancia a gobiernos, agencias de aplicación de la ley y corporaciones, incluida la creación de software informador diseñado para monitorear el navegador Tor.
En particular, el infame proveedor de software de vigilancia sufrió un ataque en julio de 2015, lo que provocó la filtración de cientos de gigabytes de datos internos, incluidas herramientas y exploits. Entre ellos se encontraba un kit de crecimiento de interfaz de firmware desplegable (EFI) denominado VectorEDK que luego se convertiría en la cojín de un kit de comienzo UEFI conocido como MosaicRegressor. En abril de 2016, la empresa sufrió un nuevo revés posteriormente de que las autoridades de exportación italianas revocaran su osadía para traicionar fuera de Europa.
En la última serie de ataques documentados por el proveedor ruso de ciberseguridad, los señuelos apuntaban a medios de comunicación, universidades, centros de investigación, organizaciones gubernamentales, instituciones financieras y otras organizaciones en Rusia con el objetivo principal de espionaje.
«Esta fue una operación de phishing dirigida, no una campaña amplia e indiscriminada», dijo a The Hacker News Boris Larin, investigador principal de seguridad del Equipo de Observación e Investigación General de Kaspersky (GReAT). «Observamos múltiples intrusiones contra organizaciones e individuos en Rusia y Bielorrusia, con señuelos dirigidos a medios de comunicación, universidades, centros de investigación, organismos gubernamentales, instituciones financieras y otros en Rusia».
En particular, se ha descubierto que los ataques allanaron el camino para un software informador previamente no documentado desarrollado por Memento Labs llamado LeetAgent, adecuado al uso de leetspeak para sus comandos.
El punto de partida es una grado de garra, que es un pequeño script ejecutado por el navegador para comprobar si el visitante del sitio malvado es un adjudicatario puro con un navegador web actual, y luego aprovecha CVE-2025-2783 para detonar el escape de la zona de pruebas con el fin de conseguir la ejecución remota de código y soltar un cargador responsable de iniciar LeetAgent.
El malware es capaz de conectarse a un servidor de comando y control (C2) a través de HTTPS y admitir instrucciones que le permiten realizar una amplia escala de tareas:
- 0xC033A4D (COMANDO) – Ejecutar comando usando cmd.exe
- 0xECEC (EXEC) – Ejecutar un proceso
- 0x6E17A585 (GETTASKS): obtiene una cinta de tareas que el agente está ejecutando actualmente
- 0x6177 (KILL) – Detener una tarea
- 0xF17E09 (ARCHIVO x09) – Escribir en el archivo
- 0xF17ED0 (ARCHIVO xD0) – Adivinar un archivo
- 0x1213C7 (INJECT) – Inyectar código shell
- 0xC04F (CONF) – Establecer parámetros de comunicación
- 0xD1E (MORIR) – Salir
- 0xCD (CD) – Cambiar el directorio de trabajo presente
- 0x108 (JOB): establece parámetros para el registrador de teclas o el carero de archivos para resumir archivos que coincidan con las extensiones *.doc, *.xls, *.ppt, *.rtf, *.pdf, *.docx, *.xlsx y *.pptx.
El malware utilizado en las intrusiones se remonta a 2022, y el actor de la amenaza incluso está vinculado a un conjunto más amplio de actividad cibernética maliciosa dirigida a organizaciones e individuos en Rusia y Bielorrusia que utilizan correos electrónicos de phishing que contienen archivos adjuntos maliciosos como vector de distribución.
«El dominio del ruso y el conocimiento de las peculiaridades locales son características distintivas del orden ForumTroll APT, rasgos que incluso hemos observado en sus otras campañas», dijo Larin. «Sin retención, los errores en algunos de esos otros casos sugieren que los atacantes no eran hablantes nativos de ruso».
Vale la pena señalar que en esta etapa, Positive Technologies, en un crónica publicado en junio de 2025, incluso reveló un orden idéntico de actividad que involucró la explotación de CVE-2025-2783 por parte de un actor de amenazas al que rastrea como TaxOff para implementar una puerta trasera citación Trinper. Larin dijo a The Hacker News que los dos conjuntos de ataques están conectados.
«En varios incidentes, la puerta trasera LeetAgent utilizada en la Operación ForumTroll lanzó directamente el software informador Dante, más sofisticado», explicó Larin.
«Más allá de esa transferencia, observamos superposiciones en el oficio: persistencia idéntica en el secuestro de COM, rutas de sistema de archivos similares y datos ocultos en archivos de fuentes. Además encontramos código compartido entre el exploit/cargador y Dante. En conjunto, estos puntos indican el mismo actor/conjunto de herramientas detrás de entreambos grupos».
Dante, que surgió en 2022 como reemplazo de otro software informador llamado Sistemas de control remoto (RCS), viene con una variedad de protecciones para resistir el examen. Confunde el flujo de control, oculta funciones importadas, agrega comprobaciones antidepuración y casi todas las cadenas del código fuente están cifradas. Además consulta el registro de eventos de Windows en investigación de eventos que puedan indicar el uso de herramientas de examen de malware o máquinas virtuales para acaecer desapercibidos.
Una vez que se pasan todas las comprobaciones, el software informador procede a iniciar un módulo orquestador que está diseñado para comunicarse con un servidor C2 a través de HTTPS, cargar otros componentes ya sea desde el sistema de archivos o la memoria, y se controla a sí mismo si no recibe comandos en el interior de un número determinado de días especificado en la configuración, y poso los rastros de toda actividad.
Actualmente no hay información sobre la naturaleza de los módulos adicionales lanzados por el software informador. Si acertadamente no se ha observado que el actor de amenazas detrás de Operation ForumTroll utilice Dante en la campaña que explota la descompostura de seguridad de Chrome, Larin dijo que hay evidencia que sugiere un uso más amplio de Dante en otros ataques. Pero señaló que es demasiado pronto para presentarse a una conclusión definitiva sobre el talento o la atribución.
