A Kaspersky identificou uma operação de ciberespionagem que tira proveito da primeira vulnerabilidade zero-day do Chrome registrada em 2025. Batizada de Operação ForumTroll, a ação foi direcionada a organizações dos setores de educação, finanças, governo, mídia e pesquisa na Rússia.
Falhas exploradas
O principal ponto de entrada foi a falha CVE-2025-2783, classificada como “sandbox escape” no navegador Google Chrome. Um problema semelhante foi encontrado no Firefox e registrado como CVE-2025-2857.
Método de ataque
Os criminosos enviavam e-mails de phishing que simulavam convites para fóruns on-line. As mensagens continham links personalizados e de curta duração, que redirecionavam as vítimas a sites maliciosos onde o exploit para a vulnerabilidade era executado.
Depois de validar o usuário, o código malicioso burlava o sandbox do navegador, injetava shellcode e instalava um loader. Para manter persistência, o ataque criava novas entradas no Registro do Windows e sequestrava a ordem de busca de objetos COM do sistema operacional.
Spyware LeetAgent
A carga final era o LeetAgent, spyware escrito em “leetspeak” com capacidade de registrar teclas, exfiltrar arquivos e receber comandos remotos via HTTPS. A infraestrutura de comando e controle estava hospedada na nuvem da Fastly.net.
De acordo com a Kaspersky, o LeetAgent é usado desde 2022 contra alvos na Rússia e na Bielorrússia. Em alguns casos, ele serve como porta de entrada para o Dante, spyware desenvolvido pela empresa italiana Memento Labs (antiga Hacking Team).
Imagem: seu software de vigilância Rote Ctr
Ligação com o antigo Hacking Team
Fundada em 2003, a Hacking Team ganhou notoriedade pelo software de vigilância Remote Control Systems (Da Vinci). Após o vazamento de dados em 2015, a companhia foi adquirida em 2019 pelo grupo InTheCyber e passou a se chamar Memento Labs.
O Dante apresenta características herdadas do antigo RCS, incluindo orquestração modular, carregamento de componentes sob demanda e autodestruição caso fique sem contato com o servidor C&C por determinado período. Embora não tenha sido usado diretamente na Operação ForumTroll, a Kaspersky identificou semelhanças de código e técnicas entre campanhas que empregam o Dante e a ação recém-descoberta.
As conclusões do relatório reforçam o aumento da complexidade e da modularidade em campanhas de espionagem digital patrocinadas por Estados, além do reaproveitamento de ferramentas originalmente criadas por empresas privadas de vigilância.
Com informações de SegInfo