Uma vulnerabilidade zero-day no Google Chrome, explorada na operação ForumTroll no início deste ano, disseminou um malware ligado à empresa italiana de spyware Memento Labs.
Essa companhia surgiu após a aquisição da infame Hacking Team pelo grupo IntheCyber.
A operação ForumTroll foi descoberta pela Kaspersky em março.
A campanha tinha como alvo organizações russas — incluindo veículos de mídia, universidades, centros de pesquisa, órgãos governamentais e instituições financeiras — por meio de convites cuidadosamente elaborados para o fórum Primakov Readings, que continham um link malicioso.
Bastar abrir esse link em qualquer navegador baseado em Chromium para infectar o sistema.
Pesquisadores da Kaspersky identificaram que a entrega do malware ocorria pela exploração do CVE-2025-2783, uma vulnerabilidade zero-day do tipo sandbox escape no Chrome.
Em relatório divulgado hoje, a Kaspersky detalhou a cadeia de ataque da operação ForumTroll, afirmando que o malware usado na campanha tem registros que remontam a pelo menos 2022.
A investigação levou à descoberta de outras investidas contra organizações na Rússia e Bielorrússia.
Ao analisar ataques antigos, os especialistas encontraram um malware desconhecido, identificado como “Dante”, um spyware comercial desenvolvido pela italiana Memento Labs.
A Memento Labs foi criada com base na expertise da antiga Hacking Team, empresa de Milão conhecida pelo spyware Remote Control System (RCS), vendido a autoridades como ferramenta de vigilância.
Em 2015, a Hacking Team foi invadida, o que expôs suas vendas a regimes autoritários, o uso de zero-days e sua relação com agências de inteligência governamentais, comprometendo sua reputação.
Em 2019, a IntheCyber adquiriu a empresa e usou seus ativos para fundar a Memento Labs.
Quatro anos depois, durante a ISS World Middle East and Africa, a Memento Labs apresentou seu novo spyware Dante, embora os detalhes tenham permanecido confidenciais.
Os ataques da operação ForumTroll começam com um phishing contendo um link personalizado e temporário para um site malicioso.
Um script valida o visitante, garantindo que apenas os alvos específicos sejam infectados.
Em seguida, os invasores exploram o CVE-2025-2783 para executar shellcode no processo do navegador da vítima e instalar um loader persistente que injeta uma DLL maliciosa.
Essa DLL decripta o payload principal, chamado LeetAgent, um spyware modular que permite executar comandos, realizar operações com arquivos, keylogging e roubo de dados.
A Kaspersky destaca que o LeetAgent se diferencia pelo uso de leetspeak em sua implementação de comandos e suspeita que seja uma ferramenta comercial.
O uso do LeetAgent foi rastreado em ataques de 2022 contra alvos na Rússia e Bielorrússia.
Em alguns casos, ele serviu para introduzir o Dante.
Devido às semelhanças do código do Dante com o malware RCS da Hacking Team, os pesquisadores atribuem com alta confiança essas ferramentas à Memento Labs.
Dante é um spyware modular que busca componentes em um servidor de comando e controle (C2).
Caso não receba comunicação do servidor por um determinado número de dias, o malware se autoexclui, apagando todos os vestígios da atividade.
Os pesquisadores não conseguiram recuperar módulos para análise; portanto, as funcionalidades específicas do spyware Dante ainda não estão totalmente documentadas.
Vale destacar que, embora a Kaspersky tenha atribuído o spyware avançado à Memento Labs com alta confiança, o autor da exploração zero-day para escape de sandbox no Chrome pode ser uma entidade distinta.
O Chrome corrigiu o CVE-2025-2783 na versão 134.0.6998.178, lançada em 26 de março.
A Mozilla também corrigiu o problema no Firefox, registrado como
CVE-2025-2857
, na versão 136.0.4 do navegador.
A Memento Labs foi procurada para comentar as descobertas da Kaspersky, mas não respondeu até a publicação desta matéria.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...