CVE-2025-2783, una vulnerabilidad de día cero de Chrome que se detectó y explotó en marzo de 2025 y que Google corrigió posteriormente, fue utilizada por atacantes desconocidos para distribuir LeetAgent, un presunto software espía comercial.
Un análisis del código del malware y la infraestructura de la campaña permitió a los investigadores de Kaspersky descubrir ataques adicionales del mismo actor de amenazas contra organizaciones de otros países. Los investigadores también descubrieron otra herramienta de spyware utilizada en algunas de estas intrusiones: Dante, un software de vigilancia comercial desarrollado por la empresa italiana Memento Labs (anteriormente Hacking Team ).
Operación ForumTroll
La campaña de marzo, denominada Operación ForumTroll por el uso de invitaciones falsas al foro Lecturas de Primakov , se dirigió a medios de comunicación rusos, universidades, instituciones de investigación, organismos gubernamentales, organizaciones financieras y otras entidades.
Las invitaciones contenían un enlace a un sitio web malicioso con un script de validación que verificaba si debía continuar el ataque, es decir, si debía ejecutar un RCE y un exploit de escape de la zona protegida. Este exploit desencadenaba la descarga de un cargador de malware persistente que descifraba y ejecutaba el spyware LeetAgent.
Si bien los investigadores no pudieron identificar el exploit de ejecución de código remoto para Google Chrome, sí lograron analizar el escape sandbox, que aprovechaba CVE-2025-2783.
Este exploit nos desconcertó profundamente, ya que permitía a los atacantes eludir la protección sandbox de Google Chrome sin realizar acciones claramente maliciosas o prohibidas. Esto se debía a una potente vulnerabilidad lógica causada por una peculiaridad desconocida del sistema operativo Windows, según informaron los investigadores.
En efecto, los atacantes engañaron al sistema de comunicación entre procesos (IPC) de Chrome para que convirtiera un pseudo-identificador (una constante especial de Windows interpretada por el kernel como un identificador para el hilo o proceso actual) en un identificador real y utilizable dentro del proceso del navegador, y luego usaron ese identificador para ejecutar código con los privilegios del navegador.
La identidad del grupo detrás de la campaña ForumTroll aún no está clara. Los correos electrónicos de phishing enviados por los atacantes están escritos en ruso con un estilo correcto, aunque algunos errores cometidos en los correos electrónicos utilizados en esta y otras campañas atribuidas al grupo sugieren que los atacantes no son hablantes nativos de ruso.
LeetAgent y el software espía Dante
LeetAgent puede recibir comandos de uno de sus servidores C2 que le permiten ejecutar comandos, ejecutar procesos, detener tareas, inyectar shellcode, leer y escribir archivos, ejecutar tareas de registro de teclas y robo de archivos en segundo plano, y más.
Los servidores C2 se especifican en la configuración, y la cantidad de configuraciones de ofuscación de tráfico indica que LeetAgent es una herramienta comercial.
Los investigadores analizaron ataques anteriores que mostraron similitudes y solapamientos en los indicadores de vulnerabilidad y las técnicas empleadas, y detectaron otro spyware más sofisticado: Dante. (En algunos ataques, LeetAgeent se utilizó para ejecutar Dante).
Dante usa VMProtect para ocultar su código, cifrar cadenas y bloquear la depuración, y puede detectar entornos sandbox, máquinas virtuales y depuradores.
Llama a las API de Windows indirectamente para evitar ser detectado por herramientas de seguridad, disfraza su controlador principal («orquestador») como un archivo de fuente, carga módulos de complemento (encriptados) desde el disco o la memoria, vincula claves de encriptación a cada máquina infectada y se elimina a sí mismo si no recibe comandos después de un tiempo establecido.
“Hasta ahora, se sabía poco sobre las capacidades de este malware y no se había descubierto su uso en ataques”, señalaron los investigadores de Kaspersky.
Pero la muestra de spyware analizada por ellos no sólo contenía el nombre, sino también similitudes de código con el spyware RCS de Hacking Team (también conocido como Da Vinci), lo que los hace estar bastante seguros de atribuir el malware a Memento Labs.
Aunque no observamos que el grupo APT ForumTroll usara Dante en la campaña Operación ForumTroll, sí lo hemos observado en otros ataques relacionados con este grupo. Cabe destacar que observamos varias similitudes menores entre este ataque y otros que involucran a Dante, como rutas de sistema de archivos similares, el mismo mecanismo de persistencia, datos ocultos en archivos de fuentes y otros detalles menores, añadieron los investigadores.
Lo más importante es que encontramos código similar compartido por el exploit, el cargador y Dante. En conjunto, estos hallazgos nos permiten concluir que la campaña «Operación ForumTroll» también se llevó a cabo utilizando el mismo conjunto de herramientas que viene con el spyware Dante.
Kaspersky ha compartido indicadores de compromiso que pueden utilizarse para detectar la presencia de LeetAgent y Dante.
Fuente y redacción: helpnetsecurity.com
