Una vulnerabilidad de día cero en Google Chrome (CVE-2025-2783, puntuación CVSS: 8.3) fue explotada activamente para distribuir el spyware LeetAgent, atribuido al proveedor italiano Memento Labs. La falla, un escape de sandbox, fue utilizada en una campaña denominada Operación ForumTroll, activa desde al menos febrero de 2024 y dirigida principalmente a organizaciones en Rusia y Bielorrusia.

El vector inicial consistió en correos de phishing con enlaces de corta duración que simulaban invitaciones al foro “Primakov Readings”. Al acceder mediante Chrome o navegadores basados en Chromium, el exploit se ejecutaba automáticamente, permitiendo la descarga e instalación de LeetAgent sin interacción adicional.

El spyware ofrece funcionalidades avanzadas de vigilancia:

• Ejecución remota de comandos y procesos.
• Exfiltración de archivos y documentos.
• Registro de teclas y capturas de pantalla.
• Comunicación cifrada vía HTTPS con servidores C2 controlados por Memento Labs.

Investigadores de Kaspersky y Positive Technologies vinculan esta actividad con el clúster TaxOff / Team 46, también rastreado como Prosperous Werewolf por BI.ZONE, lo que sugiere una evolución de herramientas previamente vistas como Dante o Inerrant.

Impacto y mitigación

Aunque la campaña tuvo un enfoque geopolítico, el uso de un exploit zero-day en Chrome implica un riesgo global, especialmente en entornos corporativos que no aplican parches con rapidez.

Medidas recomendadas:

• Actualizar inmediatamente Chrome y navegadores basados en Chromium.
• Forzar políticas de actualización mediante MDM o GPO para evitar builds vulnerables.
• Monitorear actividad anómala de procesos hijos del navegador y conexiones HTTPS hacia dominios recientes o sospechosos.
• Reforzar detección EDR ante comportamientos de escape de sandbox y ejecución fuera del contexto del navegador.

fuente: thehackernews[.]com