La vulnérabilité CVE-2025-2783, qui a un score CVSS de 8,3, a été activement exploitée dans une campagne appelée Opération ForumTroll, ciblant des organisations en Russie. Selon des recherches de Kaspersky, cette vulnérabilité, qui permet l’évasion du bac à sable dans Google Chrome, a été utilisée pour distribuer le logiciel espion LeetAgent, développé par Memento Labs.
Un logiciel espion avec un grand potentiel pour causer des dommages
L’opération a impliqué l’envoi d’e-mails de phishing avec des liens personnalisés qui, lorsqu’ils étaient ouverts dans Google Chrome ou des navigateurs basés sur Chromium, activaient l’exploitation de la vulnérabilité. Ces attaques étaient dirigées contre des médias, des universités, des centres de recherche et des gouvernements, avec pour objectif principal de mener des activités d’espionnage.
Memento Labs, une entreprise italienne de technologie et de services informatiques, a été sous le radar depuis sa création en 2019, suite à la fusion d’InTheCyber Group et de HackingTeam. Ce dernier, connu pour la vente de capacités d’intrusion et de surveillance à des gouvernements, avait subi un piratage en 2015 qui avait exposé de multiples outils et exploits.
Le groupe APT ForumTroll, qui semble être lié à un autre acteur connu sous le nom de TaxOff, montre une compétence en russe, bien que tous les attaquants ne soient pas des locuteurs natifs. Cela suggère une approche ciblée et non indiscriminée dans leurs opérations. Il a été observé que le logiciel espion Dante, qui remplace RCS, est utilisé dans cette chaîne d’attaques, offrant des protections avancées contre l’analyse.
Bien que l’ampleur de ces attaques ne soit pas encore complètement déterminée, il est évident que l’utilisation de techniques de phishing, ainsi que la connexion entre différents outils et groupes, soulève de sérieuses préoccupations concernant la cybersécurité dans la région. Les experts laissent entendre que ce n’est que le dernier d’une série d’incidents associés à ces acteurs malveillants.
