La explotación de día cero de una defecto de seguridad ahora parcheada en Google Chrome llevó a la distribución de una útil relacionada con el espionaje del proveedor italiano de servicios y tecnología de la información Memento Labs, según nuevos hallazgos de Kaspersky.
La vulnerabilidad en cuestión es CVE-2025-2783 (puntuación CVSS: 8,3), un caso de escape de sandbox que la compañía reveló en marzo de 2025 como objeto de explotación activa como parte de una campaña denominada Operación ForoTroll dirigido a organizaciones en Rusia. El corro además es rastreado como TaxOff/Team 46 por Positive Technologies y Prosperous Werewolf por BI.ZONE. Se sabe que está activo desde al menos febrero de 2024.
La ola de infecciones implicó el emisión de correos electrónicos de phishing que contenían enlaces personalizados de corta duración que invitaban a los destinatarios al foro Primakov Readings. Hacer clic en los enlaces a través de Google Chrome o un navegador web basado en Chromium fue suficiente para activar un exploit para CVE-2025-2783, lo que permitió a los atacantes romper los límites del software y entregar herramientas desarrolladas por Memento Labs.
Con sede en Milán, Memento Labs (además esbelto como mem3nt0) se formó en abril de 2019 tras la fusión de InTheCyber Group y HackingTeam (además conocido como Hacking Team), el postrer de los cuales tiene un historial de liquidación de capacidades ofensivas de intrusión y vigilancia a gobiernos, agencias de aplicación de la ley y corporaciones, incluida la creación de software infiltrado diseñado para monitorear el navegador Tor.
En particular, el infame proveedor de software de vigilancia sufrió un ataque en julio de 2015, lo que provocó la filtración de cientos de gigabytes de datos internos, incluidas herramientas y exploits. Entre ellos se encontraba un kit de explicación de interfaz de firmware desplegable (EFI) denominado VectorEDK que luego se convertiría en la cojín de un kit de inicio UEFI conocido como MosaicRegressor. En abril de 2016, la empresa sufrió un nuevo revés luego de que las autoridades de exportación italianas revocaran su inmoralidad para traicionar fuera de Europa.
En la última serie de ataques documentados por el proveedor ruso de ciberseguridad, los señuelos apuntaban a medios de comunicación, universidades, centros de investigación, organizaciones gubernamentales, instituciones financieras y otras organizaciones en Rusia con el objetivo principal de espionaje.
“Esta fue una operación de phishing dirigida, no una campaña amplia e indiscriminada”, dijo a The Hacker News Boris Larin, investigador principal de seguridad del Equipo de Observación e Investigación Integral de Kaspersky (GReAT). “Observamos múltiples intrusiones contra organizaciones e individuos en Rusia y Bielorrusia, con señuelos dirigidos a medios de comunicación, universidades, centros de investigación, organismos gubernamentales, instituciones financieras y otros en Rusia”.
En particular, se ha descubierto que los ataques allanaron el camino para un software infiltrado previamente no documentado desarrollado por Memento Labs llamado LeetAgent, adecuado al uso de leetspeak para sus comandos.
El punto de partida es una escalón de nervio, que es un pequeño script ejecutado por el navegador para comprobar si el visitante del sitio desconfiado es un beneficiario auténtico con un navegador web actual, y luego aprovecha CVE-2025-2783 para detonar el escape de la zona de pruebas con el fin de alcanzar la ejecución remota de código y soltar un cargador responsable de iniciar LeetAgent.
El malware es capaz de conectarse a un servidor de comando y control (C2) a través de HTTPS y percibir instrucciones que le permiten realizar una amplia abanico de tareas:
- 0xC033A4D (COMANDO) – Ejecutar comando usando cmd.exe
- 0xECEC (EXEC) – Ejecutar un proceso
- 0x6E17A585 (GETTASKS): obtiene una nómina de tareas que el agente está ejecutando actualmente
- 0x6177 (KILL) – Detener una tarea
- 0xF17E09 (ARCHIVO x09) – Escribir en el archivo
- 0xF17ED0 (ARCHIVO xD0) – Observar un archivo
- 0x1213C7 (INJECT) – Inyectar código shell
- 0xC04F (CONF) – Establecer parámetros de comunicación
- 0xD1E (MORIR) – Salir
- 0xCD (CD) – Cambiar el directorio de trabajo contemporáneo
- 0x108 (JOB): establece parámetros para el registrador de teclas o el timador de archivos para resumir archivos que coincidan con las extensiones *.doc, *.xls, *.ppt, *.rtf, *.pdf, *.docx, *.xlsx y *.pptx.
El malware utilizado en las intrusiones se remonta a 2022, y el actor de la amenaza además está vinculado a un conjunto más amplio de actividad cibernética maliciosa dirigida a organizaciones e individuos en Rusia y Bielorrusia que utilizan correos electrónicos de phishing que contienen archivos adjuntos maliciosos como vector de distribución.
“El dominio del ruso y el conocimiento de las peculiaridades locales son características distintivas del corro ForumTroll APT, rasgos que además hemos observado en sus otras campañas”, dijo Larin. “Sin secuestro, los errores en algunos de esos otros casos sugieren que los atacantes no eran hablantes nativos de ruso”.
Vale la pena señalar que en esta etapa, Positive Technologies, en un crónica publicado en junio de 2025, además reveló un corro idéntico de actividad que involucró la explotación de CVE-2025-2783 por parte de un actor de amenazas al que rastrea como TaxOff para implementar una puerta trasera emplazamiento Trinper. Larin dijo a The Hacker News que los dos conjuntos de ataques están conectados.
“En varios incidentes, la puerta trasera LeetAgent utilizada en la Operación ForumTroll lanzó directamente el software infiltrado Dante, más sofisticado”, explicó Larin.
“Más allá de esa transferencia, observamos superposiciones en el oficio: persistencia idéntica en el secuestro de COM, rutas de sistema de archivos similares y datos ocultos en archivos de fuentes. Incluso encontramos código compartido entre el exploit/cargador y Dante. En conjunto, estos puntos indican el mismo actor/conjunto de herramientas detrás de uno y otro grupos”.
Dante, que surgió en 2022 como reemplazo de otro software infiltrado llamado Sistemas de control remoto (RCS), viene con una variedad de protecciones para resistir el examen. Confunde el flujo de control, oculta funciones importadas, agrega comprobaciones antidepuración y casi todas las cadenas del código fuente están cifradas. Incluso consulta el registro de eventos de Windows en pesquisa de eventos que puedan indicar el uso de herramientas de examen de malware o máquinas virtuales para producirse desapercibidos.
Una vez que se pasan todas las comprobaciones, el software infiltrado procede a iniciar un módulo orquestador que está diseñado para comunicarse con un servidor C2 a través de HTTPS, cargar otros componentes ya sea desde el sistema de archivos o la memoria, y se controla a sí mismo si no recibe comandos en el interior de un número determinado de días especificado en la configuración, y sedimento los rastros de toda actividad.
Actualmente no hay información sobre la naturaleza de los módulos adicionales lanzados por el software infiltrado. Si aceptablemente no se ha observado que el actor de amenazas detrás de Operation ForumTroll utilice Dante en la campaña que explota la defecto de seguridad de Chrome, Larin dijo que hay evidencia que sugiere un uso más amplio de Dante en otros ataques. Pero señaló que es demasiado pronto para conseguir a una conclusión definitiva sobre el talento o la atribución.
