La vulnerabilidad CVE-2025-2783, que cuenta con una puntuación CVSS de 8.3, ha sido objeto de explotación activa en una campaña llamada Operación ForumTroll, dirigida a organizaciones en Rusia. Según investigaciones de Kaspersky, esta vulnerabilidad, que permite la evasión de la sandbox en Google Chrome, fue utilizada para distribuir el software espía LeetAgent, desarrollado por Memento Labs.
Un software espía con mucho potencial para hacer daño
La operación involucró el envío de correos electrónicos de phishing con enlaces personalizados que, al ser abiertos en Google Chrome o navegadores basados en Chromium, activaron la explotación de la vulnerabilidad. Estos ataques fueron dirigidos a medios de comunicación, universidades, centros de investigación y gobiernos, con el objetivo principal de llevar a cabo tareas de espionaje.
Memento Labs, una empresa italiana de tecnología y servicios informáticos, ha estado bajo el radar desde su formación en 2019, tras la fusión de InTheCyber Group y HackingTeam. Este último, conocido por la venta de capacidades de intrusión y vigilancia a gobiernos, había sufrido un hackeo en 2015 que expuso múltiples herramientas y exploits.
El grupo APT ForumTroll, que parece estar vinculado a otro actor conocido como TaxOff, muestra competencia en ruso, aunque no todos los atacantes son hablantes nativos. Esto sugiere un enfoque dirigido y no indiscriminado en sus operaciones. Se ha observado que el spyware Dante, que reemplaza a RCS, es utilizado dentro de esta cadena de ataques, ofreciendo protecciones avanzadas contra el análisis.
A pesar de que aún no se ha determinado completamente el alcance de estos ataques, es evidente que el uso de técnicas de phishing, así como la conexión entre diferentes herramientas y grupos, plantea serias preocupaciones sobre la seguridad cibernética en la región. Los expertos insinúan que este es solo el último de varios incidentes asociados con estos actores maliciosos.
