Kaspersky เปิดรายงานล่าสุดว่าการโจมตีช่องโหว่ zero-day ใน Google Chrome CVE-2025-2783 ซึ่งเป็นตัวแรกของปี 2025 เชื่อมโยงกับเครื่องมือสอดแนมจากรัฐ โดยเกี่ยวข้องกับสปายแวร์ Dante จาก Memento Labs ซึ่งเดิมคือ Hacking Team ช่องโหว่ประเภท sandbox escape นี้ช่วยให้แฮกเกอร์หลบการป้องกันของ Chrome และรันโค้ดร้ายบนเครื่องผู้ใช้โดยตรง
แคมเปญนี้ชื่อ Operation ForumTroll เริ่มต้นด้วยอีเมลฟิชชิงปลอมเป็นคำเชิญเข้าร่วมฟอรัม Primakov Readings โดยลิงก์เฉพาะบุคคลที่หมดอายุเร็วเพื่อหลอกเหยื่อคลิก เมื่อเปิดลิงก์ในเบราว์เซอร์ Chromium ระบบจะตรวจสอบสิทธิ์ ก่อนข้าม sandbox ด้วย CVE-2025-2783 เพื่อรัน shellcode และติดตั้ง loader มัลแวร์
LeetAgent สปายแวร์หลักที่ใช้ในแคมเปญนี้เขียนคำสั่งด้วย leet speak รองรับการรับคำสั่งผ่าน HTTPS ดักพิมพ์คีย์บอร์ด ขโมยไฟล์ รันคำสั่ง Command Prompt ฉีดโค้ด สร้างหรือแก้ไขไฟล์ และรันโปรเซส มัลแวร์ติดต่อ C&C บน Fastly.net และถูกใช้ตั้งแต่ปี 2022 กับเป้าหมายในรัสเซียและเบลารุส
ในบางกรณี LeetAgent ทำหน้าที่ทางผ่านติดตั้ง Dante สปายแวร์ขั้นสูงจาก Memento Labs ซึ่งคล้าย RCS หรือ Da Vinci ของ Hacking Team เดิม Dante ใช้ orchestrator ดาวน์โหลดโมดูลย่อย หลบการตรวจจับ และลบตัวเองหากไม่ได้รับคำสั่งจาก C&C ในเวลาที่กำหนด
Hacking Team ก่อตั้งปี 2003 ขาย RCS ให้รัฐบาลหลายประเทศ ก่อนถูกแฮกข้อมูลรั่วปี 2015 ต่อมาเข้าซื้อและรีแบรนด์เป็น Memento Labs ปี 2019 Kaspersky พบความคล้ายคลึงระหว่าง ForumTroll กับ Dante เช่น เส้นทางไฟล์ persistence การซ่อนข้อมูลในฟอนต์ และโค้ด exploit-loader ชี้ถึงกลุ่มผู้โจมตีเดียวกัน
แม้ ForumTroll ไม่ใช้ Dante โดยตรง แต่ Kaspersky มั่นใจสูงถึงการเชื่อมโยงกับ Memento Labs Google แพตช์ CVE-2025-2783 ในเวอร์ชัน 134.0.6998.178 เมื่อมีนาคม 2025 แนะนำอัปเดต Chrome ทันทีและระวังฟิชชิงเพื่อป้องกัน APT แบบนี้
