Un defecto de seguridad ahora parchado en Google Chrome fue explotado como un día cero por un actor de amenaza conocido como TaxOff para desplegar una puerta trasera con codificación Trinper.
El ataque, observado a mediados de marzo de 2025 por tecnologías positivas, implicó el uso de una vulnerabilidad de escape de Sandbox rastreada como CVE-2025-2783 (puntaje CVSS: 8.3).
Google se dirigió a la defecto más tarde ese mes a posteriori de que Kaspersky reportó la explotación en el incremento en una campaña doblada por Forumtroll de Operación dirigida a varias organizaciones rusas.
“El vector de ataque auténtico fue un correo electrónico de phishing que contenía un enlace zorro”, dijeron los investigadores de seguridad Stanislav Pyzhov y Vladislav Lunin. “Cuando la víctima hizo clic en el enlace, activó una exploit de un solo clic (CVE-2025-2783), lo que llevó a la instalación de la puerta trasera Trinper empleada por TaxOff”.
Se dice que el correo electrónico de phishing se disfrazó de una invitación al Foro de Lecturas de Primakov, el mismo señuelo detallado por Kaspersky, instando a los usuarios a hacer clic en un enlace que llevó a un sitio web espurio que alojaba el exploit.
Taxoff es el nombre asignado a un corro de piratería que fue documentado por primera vez por la compañía de seguridad cibernética rusa a fines de noviembre de 2024 como apuntando a las agencias gubernamentales nacionales que utilizan correos electrónicos de phishing legales y financieros para entregar Trinper.
Escrito en C ++, la puerta trasera utiliza múltiples lecturas para capturar la información del host de las víctimas, registrar las teclas de teclas, compendiar archivos que coinciden con extensiones específicas (.doc, .xls, .ppt, .rtf y .pdf), y establecer una conexión con un servidor remoto para acoger comandos y exfiltrar los resultados de la ejecución.
Las instrucciones enviadas desde el servidor de comando y control (C2) extienden la funcionalidad del implante, lo que le permite adivinar/escribir archivos, ejecutar comandos usando cmd.exe, iniciar un shell inverso, cambiar directorio y apagar a sí mismo.
“Multithreading proporciona un suspensión límite de paralelismo para ocultar la puerta trasera mientras conserva la capacidad de compendiar y exfiltrar datos, instalar módulos adicionales y proseguir las comunicaciones con C2”, señaló Lunin en ese momento.
Positive Technologies dijo que su investigación sobre la intrusión de mediados de marzo de 2025 condujo al descubrimiento de otro ataque que data de octubre de 2024 que igualmente comenzó con un correo electrónico de phishing, que pretendía ser una invitación a una conferencia internacional indicación “Seguridad del estado de la Unión en el mundo reciente”.
El mensaje de correo electrónico igualmente contenía un enlace, que descargaba un archivo de archivo zip que contenía un hato de Windows que, a su vez, lanzó un comando PowerShell para servir en última instancia un documento de señuelo y al mismo tiempo dejar un cargador responsable de propalar la puerta trasera Trinper por medio del cargador de donas de código franco. Se ha enfrentado que una variación del ataque intercambia el cargador de donas a merced de Cobalt Strike.
Esta dependencia de ataque, según la compañía, comparte varias similitudes tácticas con la de otro corro de piratería rastreado como Team46, lo que aumenta la posibilidad de que los dos grupos de actividad de amenazas sean lo mismo.
Curiosamente, otro conjunto de correos electrónicos de phishing enviados por los atacantes del equipo46 un mes ayer de que se afirmara ser del cirujano de telecomunicaciones Rostelecom, con sede en Moscú, alertando a los destinatarios de supuestas interrupciones de mantenimiento el año pasado.
Estos correos electrónicos incluyeron un archivo ZIP, que incrustó un hato que lanzó un comando PowerShell para desplegar un cargador que se había utilizado previamente para entregar otra puerta trasera en un ataque dirigido a una compañía rusa no identificada en la industria de carga ferroviaria.
La intrusión de marzo de 2024, detallada por Doctor Web, es trascendental por el hecho de que una de las cargas armadas armó una vulnerabilidad de secuestro de DLL en el navegador Yandex (CVE-2024-6473, puntaje CVSS: 8.4) como un día cero para descargar y ejecutar malware no especificado. Se resolvió en la lectura 24.7.1.380 resuelto en septiembre de 2024.
“Este corro aprovecha las exploits de día cero, lo que le permite penetrar en infraestructuras seguras de guisa más efectiva”, dijeron los investigadores. “El corro igualmente crea y utiliza malware sofisticado, lo que implica que tiene una organización a espacioso plazo y tiene la intención de proseguir la persistencia en los sistemas comprometidos durante un período prolongado”.
