Việc khai thác Zero-Day một lỗ hổng bảo mật đã được vá trong Google Chrome đã dẫn đến việc phân phối một công cụ liên quan đến hoạt động gián điệp từ nhà cung cấp dịch vụ và công nghệ thông tin Memento Labs của Ý, theo những phát hiện mới từ Kaspersky.
Lỗ hổng được đề cập là CVE-2025-2783 (điểm CVSS: 8.3), một trường hợp sandbox escape mà công ty đã tiết lộ vào tháng 3 năm 2025 là đã bị khai thác tích cực như một phần của chiến dịch mang tên Operation ForumTroll nhắm vào các tổ chức ở Nga. Nhóm này cũng được Positive Technologies theo dõi với tên TaxOff/Team 46 và Prosperous Werewolf bởi BI.ZONE. Chúng được biết là đã hoạt động ít nhất từ tháng 2 năm 2024.
Làn sóng lây nhiễm liên quan đến việc gửi các email lừa đảo (phishing emails) chứa các liên kết được cá nhân hóa, tồn tại trong thời gian ngắn, mời người nhận đến diễn đàn Primakov Readings. Chỉ cần nhấp vào các liên kết thông qua Google Chrome hoặc trình duyệt web dựa trên Chromium là đủ để kích hoạt một exploit cho CVE-2025-2783, cho phép kẻ tấn công thoát khỏi giới hạn của chương trình và phát tán các công cụ do Memento Labs phát triển.
Tổng quan về Memento Labs và quá khứ tai tiếng
Có trụ sở tại Milan, Memento Labs (còn được viết là mem3nt0) được thành lập vào tháng 4 năm 2019 sau sự sáp nhập của InTheCyber Group và HackingTeam (còn gọi là Hacking Team), trong đó HackingTeam có lịch sử bán các khả năng xâm nhập tấn công và giám sát cho các chính phủ, cơ quan thực thi pháp luật và các tập đoàn, bao gồm tạo ra spyware được thiết kế để giám sát trình duyệt Tor.
Đáng chú ý nhất, nhà cung cấp phần mềm giám sát khét tiếng này đã bị tấn công vào tháng 7 năm 2015, dẫn đến việc rò rỉ hàng trăm gigabyte dữ liệu nội bộ, bao gồm cả các công cụ và exploit. Trong số này có một bộ công cụ phát triển Extensible Firmware Interface (EFI) có tên VectorEDK, sau này trở thành nền tảng cho một UEFI bootkit được gọi là MosaicRegressor. Vào tháng 4 năm 2016, công ty phải đối mặt với một trở ngại khác sau khi các cơ quan xuất khẩu của Ý thu hồi giấy phép bán hàng bên ngoài châu Âu của họ.
Chi tiết tấn công và phần mềm gián điệp LeetAgent
Trong đợt tấn công mới nhất được nhà cung cấp an ninh mạng của Nga ghi lại, các mồi nhử đã nhắm mục tiêu vào các hãng truyền thông, trường đại học, trung tâm nghiên cứu, tổ chức chính phủ, tổ chức tài chính và các tổ chức khác ở Nga với mục tiêu chính là gián điệp.
"Đây là một hoạt động spear-phishing có mục tiêu, chứ không phải là một chiến dịch rộng rãi, không phân biệt," Boris Larin, nhà nghiên cứu bảo mật chính tại Kaspersky Global Research and Analysis Team (GReAT), nói với The Hacker News. "Chúng tôi đã quan sát thấy nhiều vụ xâm nhập chống lại các tổ chức và cá nhân ở Nga và Belarus, với các mồi nhử nhắm vào các hãng truyền thông, trường đại học, trung tâm nghiên cứu, cơ quan chính phủ, tổ chức tài chính và những nơi khác ở Nga."
Đáng chú ý nhất, các cuộc tấn công này đã được phát hiện mở đường cho một phần mềm gián điệp chưa được ghi nhận trước đây do Memento Labs phát triển, có tên là LeetAgent, do việc sử dụng leetspeak cho các lệnh của nó.
Điểm khởi đầu là một giai đoạn xác thực (validator phase), là một đoạn script nhỏ được thực thi bởi trình duyệt để kiểm tra xem khách truy cập trang web độc hại có phải là người dùng thật với trình duyệt web thật hay không, sau đó tận dụng CVE-2025-2783 để kích hoạt sandbox escape nhằm đạt được remote code execution và thả một loader chịu trách nhiệm khởi chạy LeetAgent.
Malware này có khả năng kết nối với máy chủ command-and-control (C2) qua HTTPS và nhận các lệnh cho phép nó thực hiện một loạt các tác vụ -
- 0xC033A4D (COMMAND) – Chạy lệnh bằng cmd.exe
- 0xECEC (EXEC) – Thực thi một tiến trình
- 0x6E17A585 (GETTASKS) – Lấy danh sách các tác vụ mà agent đang thực thi
- 0x6177 (KILL) – Dừng một tác vụ
- 0xF17E09 (FILE \x09) – Ghi vào tệp
- 0xF17ED0 (FILE \xD0) – Đọc một tệp
- 0x1213C7 (INJECT) – Inject shellcode
- 0xC04F (CONF) – Đặt các tham số giao tiếp
- 0xD1E (DIE) – Thoát
- 0xCD (CD) – Thay đổi thư mục làm việc hiện tại
- 0x108 (JOB) – Đặt các tham số cho keylogger hoặc file stealer để thu thập các tệp khớp với các phần mở rộng *.doc, *.xls, *.ppt, *.rtf, *.pdf, *.docx, *.xlsx, và *.pptx
Malware được sử dụng trong các vụ xâm nhập đã được truy tìm từ năm 2022, với tác nhân đe dọa này cũng được liên kết với một loạt hoạt động không gian mạng độc hại rộng lớn hơn nhắm vào các tổ chức và cá nhân ở Nga và Belarus bằng cách sử dụng email phishing mang các tệp đính kèm độc hại làm vector phân phối.
"Sự thành thạo tiếng Nga và sự quen thuộc với các đặc thù địa phương là những đặc điểm nổi bật của nhóm APT ForumTroll, những đặc điểm mà chúng tôi cũng đã quan sát thấy trong các chiến dịch khác của chúng," Larin nói. "Tuy nhiên, những sai sót trong một số trường hợp khác cho thấy những kẻ tấn công không phải là người nói tiếng Nga bản địa."
Mối liên hệ với spyware Dante
Điều đáng chú ý là ở giai đoạn này, Positive Technologies, trong một báo cáo được công bố vào tháng 6 năm 2025, cũng đã tiết lộ một cụm hoạt động tương tự liên quan đến việc khai thác CVE-2025-2783 bởi một tác nhân đe dọa mà họ theo dõi là TaxOff để triển khai một backdoor có tên Trinper. Larin nói với The Hacker News rằng hai nhóm tấn công này có liên quan đến nhau.
"Trong một số sự cố, backdoor LeetAgent được sử dụng trong Operation ForumTroll đã trực tiếp khởi chạy spyware Dante tinh vi hơn," Larin giải thích. "Ngoài sự chuyển giao đó, chúng tôi đã quan sát thấy sự trùng lặp trong kỹ thuật (tradecraft): COM-hijacking persistence giống hệt nhau, các đường dẫn hệ thống tệp tương tự và dữ liệu được ẩn trong các tệp phông chữ. Chúng tôi cũng tìm thấy mã chia sẻ giữa exploit/loader và Dante. Tổng hợp lại, những điểm này cho thấy cùng một tác nhân/bộ công cụ đằng sau cả hai cụm."
Dante, xuất hiện vào năm 2022 như một sự thay thế cho một spyware khác được gọi là Remote Control Systems (RCS), đi kèm với một loạt các biện pháp bảo vệ để chống lại việc phân tích. Nó obfuscates control flow, hides imported functions, thêm các kiểm tra anti-debugging, và gần như mọi chuỗi trong mã nguồn đều được mã hóa. Nó cũng truy vấn Windows Event Log để tìm các sự kiện có thể chỉ ra việc sử dụng các công cụ phân tích malware hoặc máy ảo để tránh bị phát hiện.
Một khi tất cả các kiểm tra được vượt qua, spyware sẽ tiến hành khởi chạy một mô-đun điều phối (orchestrator module) được thiết kế để giao tiếp với máy chủ C2 qua HTTPS, tải các thành phần khác từ hệ thống tệp hoặc bộ nhớ, và tự loại bỏ nếu nó không nhận được lệnh trong một số ngày được chỉ định trong cấu hình, và xóa dấu vết của tất cả các hoạt động.
Hiện tại không có thông tin về bản chất của các mô-đun bổ sung được khởi chạy bởi spyware. Mặc dù tác nhân đe dọa đằng sau Operation ForumTroll chưa được quan sát thấy sử dụng Dante trong chiến dịch khai thác lỗ hổng bảo mật của Chrome, Larin cho biết có bằng chứng cho thấy việc sử dụng Dante rộng rãi hơn trong các cuộc tấn công khác. Nhưng ông chỉ ra rằng còn quá sớm để đưa ra bất kỳ kết luận xác định nào về phạm vi hoặc attribution.
