Eksploatacija prve Chrome zero-day ranjivosti u 2025. godini povezana je sa alatima korišćenim u napadima koji uključuju novi špijunski softver italijanske kompanije Hacking Team, saopštio je Kaspersky.
Ranjivost u Chromeu, označena kao CVE-2025-2783 i opisana kao problem sa bijegom iz sandboxa, iskorišćena je u naprednoj sajberšpijunskoj kampanji koju sponzoriše država. Firefox je takođe bio pogođen sličnim propustom, praćenim kao CVE-2025-2857.
Kampanja, nazvana „Operacija ForumTroll“, ciljala je obrazovne, finansijske, vladine, medijske i istraživačke institucije u Rusiji, koristeći fišing mejlove koji su se predstavljali kao pozivnice za forume. U njima su se nalazili personalizovani, kratkotrajni linkovi koji su vodili ka sajtovima sa eksploatom za CVE-2025-2783.
Kod eksploata je bio osmišljen da provjeri identitet korisnika, zaobiđe Chrome sandbox i izvrši shellcode, čime se instalirao loader malvera. Radi postizanja postojanosti, kod je dodavao nove unose u korisnički registar kako bi preusmjerio redosljed pretrage Windows COM objekata.
U okviru Operacije ForumTroll, krajnji payload bio je LeetAgent – špijunski softver napisan u „leetspeak“ stilu koji može da prima komande putem HTTPS-a, bilježi pritiske tastera i krade fajlove, navodi Kaspersky u najnovijem izvještaju.
Na osnovu komandi sa C&C servera – hostovanog na Fastly.net cloud infrastrukturi – LeetAgent je mogao da izvršava naredbe u Command Promptu, pokreće procese, ubacuje shellcode i čita ili piše fajlove.
LeetAgent se koristi najmanje od 2022. godine u napadima na organizacije u Rusiji i Bjelorusiji, a u nekim slučajevima je služio kao mehanizam za isporuku naprednijeg špijunskog softvera koji razvija italijanska kompanija Memento Labs (bivši Hacking Team).
Kompanija Hacking Team, osnovana 2003. godine, najpoznatija je po svom špijunskom alatu Remote Control Systems (RCS), popularnom među vladama širom svijeta. Nakon curenja internih podataka 2015. godine, Hacking Team je 2019. preuzeo InTheCyber Group i preimenovao ga u Memento Labs.
Novi alat za nadzor kompanije Memento, nazvan Dante, dijeli brojne sličnosti sa RCS-om (poznatim i kao Da Vinci) i fokusira se na izbjegavanje detekcije i analize.
Dante koristi „orkestrator“ koji učitava module preuzete i lokalno pohranjene na kompromitovanom sistemu. Orkestrator posjeduje anti-analitičke funkcije i sprovodi razne provjere sistema. Ukoliko špijunski softver ne dobije komande sa C&C servera u predviđenom vremenu, sam se briše sa uređaja.
Prema Kasperskom, haker iza Operacije ForumTroll nije koristio Dante u ovoj konkretnoj kampanji, ali ga je primijenio u drugim napadima sa istim skupom alata.
„Primijetili smo više manjih sličnosti između ove kampanje i napada koji uključuju Dante, kao što su slične putanje fajlova, isti mehanizmi postojanosti, skriveni podaci u font fajlovima i druge sitne paralele. Najvažnije, otkrili smo zajednički kod između eksploata, loadera i Dantea“, navodi Kaspersky.
Izvor: SecurityWeek