کاسپرسکی گزارش داده که یک آسیبپذیری روز صفر در مرورگر Google Chrome (که اکنون پچ شده است) برای توزیع یک ابزار جاسوسی از شرکت ایتالیایی Memento Labs مورد سوءاستفاده قرار گرفته است.
این آسیبپذیری با شناسه CVE-2025-2783 و امتیاز CVSS: 8.3، از نوع sandbox escape است و در مارس ۲۰۲۵ بهعنوان بخشی از کارزار سایبری موسوم به Operation ForumTroll کشف شد؛ کارزاری که نهادهای روسی را هدف قرار میداد. این گروه در سایر منابع با نامهای TaxOff / Team 46 و Prosperous Werewolf نیز شناخته میشود و از فوریه ۲۰۲۴ فعال بوده است.
🎯 روش نفوذ و هدفگیری
در این حملات، ایمیلهای فیشینگ با لینکهای شخصیسازیشده و کوتاه ارسال شدند که کاربران را به شرکت در «Forum Primakov Readings» دعوت میکردند.
کلیک روی این لینکها در مرورگر Chrome یا سایر مرورگرهای مبتنی بر Chromium باعث اجرای اکسپلویت CVE-2025-2783 میشد، که به مهاجمان اجازه میداد از محیط ایزوله مرورگر خارج شده و ابزارهای توسعهیافته توسط Memento Labs را روی سیستم قربانی نصب کنند.
🧩 دربارهٔ Memento Labs
این شرکت در میلان مستقر است و در آوریل ۲۰۱۹ از ادغام شرکتهای InTheCyber Group و HackingTeam تشکیل شد.
HackingTeam سابقهی فروش ابزارهای تهاجمی و جاسوسی به دولتها و سازمانهای امنیتی را دارد و در سال ۲۰۱۵ دچار نفوذ گستردهای شد که به افشای صدها گیگابایت داده و ابزارهای داخلی منجر گردید. یکی از آن ابزارها، VectorEDK، بعدها پایهای برای بدافزار بوتکیت MosaicRegressor شد.
🕵️ جاسوسافزار جدید: LeetAgent
در جدیدترین حملات ثبتشده، مهاجمان از جاسوسافزار تازهای به نام LeetAgent استفاده کردند که توسط Memento Labs توسعه یافته است. نام این ابزار از سبک نوشتاری «Leetspeak» در دستورهای آن گرفته شده است.
فرآیند آلودگی با یک اسکریپت اعتبارسنجی آغاز میشود که بررسی میکند آیا بازدیدکننده واقعی است یا خیر. سپس اکسپلویت CVE-2025-2783 اجرا میشود تا sandbox شکسته شده و loader مربوط به LeetAgent روی سیستم نصب گردد.
این جاسوسافزار میتواند از طریق HTTPS با سرور C2 ارتباط برقرار کند و دستورات متنوعی مانند اجرای فرمانها، خواندن/نوشتن فایل، تزریق شِلکد، و فعالسازی keylogger یا file stealer را دریافت کند.
💻 هدفها و دامنهی حمله
اهداف این کارزار شامل رسانهها، دانشگاهها، مراکز تحقیقاتی، سازمانهای دولتی و مالی در روسیه و بلاروس بودهاند.
کاسپرسکی تأکید کرده که این یک حملهی هدفمند (spear-phishing) بوده و نه یک کمپین عمومی.
🔗 ارتباط با جاسوسافزار Dante
بر اساس تحلیلها، LeetAgent در برخی موارد منجر به اجرای جاسوسافزار پیشرفتهتر Dante شده است. هر دو ابزار ویژگیهای مشابهی چون پایداری با COM-hijacking، پنهانسازی داده در فایلهای فونت و کد مشترک در exploit و loader دارند — نشانهای از اینکه هر دو از یک مجموعهی ابزار یا عامل تهدید واحد میآیند.
Dante که جایگزین جاسوسافزار RCS (Remote Control Systems) شده، از سازوکارهای ضدتحلیل پیچیده، رمزگذاری کامل رشتهها و بررسی لاگهای Windows برای شناسایی محیطهای تحلیل بدافزار استفاده میکند.
🧠 خلاصه فنی
آسیبپذیری: CVE-2025-2783 (Sandbox Escape – Chrome)
نوع حمله: Exploit + Spyware Dropper
مهاجمان: ForumTroll / TaxOff / Team 46
ابزار مورد استفاده: LeetAgent و Dante
هدف: جاسوسی از نهادهای روسی و بلاروسی
ارتباط: بهرهبرداری مشابه با کمپین TaxOff برای نصب backdoor به نام Trinper
