Un exploit de día cero de una falla de seguridad parcheada en Google Chrome condujo a la distribución de herramientas de espionaje del proveedor italiano de servicios y tecnología de la información Memento Labs, según nuevos hallazgos de Kaspersky Lab.
La vulnerabilidad en cuestión es CVE-2025-2783 (puntuación CVSS: 8,3), que la empresa reveló en marzo de 2025 como explotada activamente como parte de una campaña llamada Operación ForumTroll dirigida a organizaciones rusas. Este grupo también es rastreado como TaxOff/Team 46 por Positive Technologies y Prosperous Werewolf por BI.ZONE. Se sabe que ha estado activo desde al menos febrero de 2024.
La ola de infección implicó el envío de correos electrónicos de phishing con enlaces personalizados de corta duración invitando a los destinatarios al Foro de Lectura de Primakov. Simplemente hacer clic en un enlace a través de un navegador web Google Chrome o basado en Chromium activa el exploit CVE-2025-2783, que permite a un atacante violar el alcance del programa y distribuir herramientas desarrolladas por Memento Labs.
Con sede en Milán, Memento Labs (también conocido como mem3nt0) se fundó en abril de 2019 tras la fusión de InTheCyber Group y HackingTeam (también conocido como Hacking Team). HackingTeam (también conocido como Hacking Team) tiene un historial de venta de capacidades ofensivas de intrusión y vigilancia a gobiernos, agencias de aplicación de la ley y empresas, incluida la creación de software espía diseñado para monitorear el navegador Tor.
En particular, el famoso proveedor de software de vigilancia fue pirateado en julio de 2015, exponiendo cientos de gigabytes de datos internos, incluidas herramientas y exploits. Esto incluía un kit de desarrollo de interfaz de firmware extensible (EFI) llamado VectorEDK, que luego se convirtió en la base del kit de arranque UEFI conocido como MosaicRegressor. En abril de 2016, la empresa tuvo más problemas cuando las autoridades de exportación italianas revocaron su licencia para vender fuera de Europa.
En la última serie de ataques documentados por un proveedor ruso de ciberseguridad, se dirige a medios de comunicación, universidades, centros de investigación, agencias gubernamentales, instituciones financieras y otras organizaciones en Rusia, principalmente con fines de espionaje.
«Esta fue una operación de phishing dirigida, no una campaña indiscriminada a gran escala», dijo a Hacker News Boris Larin, investigador jefe de seguridad del Equipo de Análisis e Investigación Global de Kaspersky (GReAT). “Observamos múltiples intrusiones contra organizaciones e individuos rusos y bielorrusos mediante señuelos dirigidos a medios de comunicación, universidades, centros de investigación, agencias gubernamentales e instituciones financieras rusas y bielorrusas”.
En particular, se descubrió que este ataque allanó el camino para un software espía previamente no documentado llamado LeetAgent, desarrollado por Memento Labs, porque utiliza leetpeak para los comandos.
El punto de partida es la fase de validación. Es un pequeño script ejecutado por el navegador para verificar si un visitante de un sitio malicioso es un usuario genuino que utiliza un navegador web real y luego aprovecha CVE-2025-2783 para detonar un escape de zona de pruebas, lograr la ejecución remota de código y eliminar el cargador responsable de iniciar LeetAgent.
El malware puede conectarse a un servidor de comando y control (C2) a través de HTTPS y recibir instrucciones que le permiten realizar una amplia gama de tareas.
0xC033A4D (COMMAND): ejecuta un comando usando cmd.exe 0xECEC (EXEC): ejecuta un proceso 0x6E17A585 (GETTASKS): obtiene una lista de tareas que el agente está ejecutando actualmente 0x6177 (KILL): detiene una tarea 0xF17E09 (FILE \x09): escritura de archivo en 0xF17ED0 (ARCHIVO\xD0) – Leer el archivo 0x1213C7 (INJECT) – Insertar shellcode 0xC04F (CONF) – Establecer parámetros de comunicación 0xD1E (DIE) – Salir 0xCD (CD) – Cambiar el directorio de trabajo actual 0x108 (JOB) – Extensión Configurar parámetros de keylogger o ladrón de archivos para recopilar archivos que coincidan con *.doc, *.xls, *.ppt, *.rtf, *.pdf, *.docx, *.xlsx y *.pptx
El malware utilizado en la intrusión se rastreó hasta 2022, y el atacante también estuvo involucrado en una amplia gama de operaciones cibernéticas maliciosas dirigidas a organizaciones e individuos en Rusia y Bielorrusia utilizando correos electrónicos de phishing que contenían archivos adjuntos maliciosos como vectores de distribución.
«El dominio del idioma ruso y el conocimiento de las peculiaridades locales son las características distintivas del grupo ForumTroll APT, características que también se han observado en otras campañas», dijo Larin. «Sin embargo, los errores en varios otros incidentes sugieren que los atacantes no eran hablantes nativos de ruso».
En este punto, vale la pena señalar que Positive Technologies, en un informe publicado en junio de 2025, también reveló un grupo idéntico de actividad que involucra la explotación de CVE-2025-2783 por parte de un actor de amenazas al que rastrea como TaxOff para implementar una puerta trasera llamada Trinper. Larin le dijo a Hacker News que los dos conjuntos de ataques están relacionados.
«En algunos incidentes, la puerta trasera LeetAgent utilizada en la Operación ForumTroll lanzó directamente un software espía Dante más sofisticado», explicó Larin.
«Aparte de las transferencias, observamos superposiciones comerciales, incluida una persistencia idéntica de secuestro de COM, rutas de sistema de archivos similares y datos ocultos en archivos de fuentes. También encontramos código compartido entre el exploit/cargador y Dante. En conjunto, estos puntos apuntan al mismo actor/conjunto de herramientas detrás de ambos grupos».
Dante debutó en 2022 como alternativa a otro software espía llamado Sistema de control remoto (RCS), con un conjunto de protecciones para evitar el análisis. Confunde el flujo de control, oculta funciones importadas, agrega comprobaciones antidepuración y casi todas las cadenas de su código fuente están cifradas. Además, consulte el registro de eventos de Windows para detectar eventos que puedan indicar que se están utilizando herramientas de análisis de malware o máquinas virtuales sin ser detectadas.
Si todas las comprobaciones pasan, el software espía procede a iniciar un módulo orquestador diseñado para comunicarse con el servidor C2 a través de HTTPS, cargar otros componentes del sistema de archivos o la memoria y, si no se reciben comandos dentro del número de días especificado en la configuración, el software espía se vuelve remoto y borra los rastros de toda actividad.
En este momento, no hay información sobre la naturaleza de los módulos adicionales lanzados por el software espía. Aunque no se ha observado que los atacantes detrás de Operation ForumTroll utilicen Dante en campañas que exploten fallas de seguridad en Chrome, Larin dijo que hay evidencia que sugiere que Dante se está utilizando más ampliamente en otros ataques. Pero señaló que era demasiado pronto para llegar a conclusiones finales sobre el alcance o la atribución.
Source link
