Un defecto de seguridad ahora parchado en Google Chrome fue explotado como un día cero por un actor de amenaza conocido como TaxOff para desplegar una puerta trasera con codificación Trinper.
El ataque, observado a mediados de marzo de 2025 por tecnologías positivas, implicó el uso de una vulnerabilidad de escape de Sandbox rastreada como CVE-2025-2783 (puntaje CVSS: 8.3).
Google se dirigió a la equivocación más tarde ese mes luego de que Kaspersky reportó la explotación en el explicación en una campaña doblada por Forumtroll de Operación dirigida a varias organizaciones rusas.
«El vector de ataque auténtico fue un correo electrónico de phishing que contenía un enlace receloso», dijeron los investigadores de seguridad Stanislav Pyzhov y Vladislav Lunin. «Cuando la víctima hizo clic en el enlace, activó una exploit de un solo clic (CVE-2025-2783), lo que llevó a la instalación de la puerta trasera Trinper empleada por TaxOff».
Se dice que el correo electrónico de phishing se disfrazó de una invitación al Foro de Lecturas de Primakov, el mismo señuelo detallado por Kaspersky, instando a los usuarios a hacer clic en un enlace que llevó a un sitio web infiel que alojaba el exploit.
Taxoff es el nombre asignado a un congregación de piratería que fue documentado por primera vez por la compañía de seguridad cibernética rusa a fines de noviembre de 2024 como apuntando a las agencias gubernamentales nacionales que utilizan correos electrónicos de phishing legales y financieros para entregar Trinper.
Escrito en C ++, la puerta trasera utiliza múltiples lecturas para capturar la información del host de las víctimas, registrar las teclas de teclas, compilar archivos que coinciden con extensiones específicas (.doc, .xls, .ppt, .rtf y .pdf), y establecer una conexión con un servidor remoto para admitir comandos y exfiltrar los resultados de la ejecución.
Las instrucciones enviadas desde el servidor de comando y control (C2) extienden la funcionalidad del implante, lo que le permite deletrear/escribir archivos, ejecutar comandos usando cmd.exe, iniciar un shell inverso, cambiar directorio y apagar a sí mismo.
«Multithreading proporciona un detención punto de paralelismo para ocultar la puerta trasera mientras conserva la capacidad de compilar y exfiltrar datos, instalar módulos adicionales y apoyar las comunicaciones con C2», señaló Lunin en ese momento.
Positive Technologies dijo que su investigación sobre la intrusión de mediados de marzo de 2025 condujo al descubrimiento de otro ataque que data de octubre de 2024 que todavía comenzó con un correo electrónico de phishing, que pretendía ser una invitación a una conferencia internacional citación «Seguridad del estado de la Unión en el mundo novedoso».
El mensaje de correo electrónico todavía contenía un enlace, que descargaba un archivo de archivo zip que contenía un caterva de Windows que, a su vez, lanzó un comando PowerShell para servir en última instancia un documento de señuelo y al mismo tiempo dejar un cargador responsable de editar la puerta trasera Trinper por medio del cargador de donas de código destapado. Se ha enemigo que una variación del ataque cambia el cargador de donas a servicio de Cobalt Strike.
Esta condena de ataque, según la compañía, comparte varias similitudes tácticas con la de otro congregación de piratería rastreado como Team46, lo que aumenta la posibilidad de que los dos grupos de actividad de amenazas sean lo mismo.
Curiosamente, otro conjunto de correos electrónicos de phishing enviados por los atacantes del equipo46 un mes antaño de que se afirmara ser del cirujano de telecomunicaciones Rostelecom, con sede en Moscú, alertando a los destinatarios de supuestas interrupciones de mantenimiento el año pasado.
Estos correos electrónicos incluyeron un archivo ZIP, que incrustó un caterva que lanzó un comando PowerShell para desplegar un cargador que se había utilizado previamente para entregar otra puerta trasera en un ataque dirigido a una compañía rusa no identificada en la industria de carga ferroviaria.
La intrusión de marzo de 2024, detallada por Doctor Web, es extraordinario por el hecho de que una de las cargas armadas armó una vulnerabilidad de secuestro de DLL en el navegador Yandex (CVE-2024-6473, puntaje CVSS: 8.4) como un día cero para descargar y ejecutar malware no especificado. Se resolvió en la interpretación 24.7.1.380 osado en septiembre de 2024.
«Este congregación aprovecha las exploits de día cero, lo que le permite penetrar en infraestructuras seguras de guisa más efectiva», dijeron los investigadores. «El congregación todavía crea y utiliza malware sofisticado, lo que implica que tiene una táctica a liberal plazo y tiene la intención de apoyar la persistencia en los sistemas comprometidos durante un período prolongado».
