Chrome Zero-Day benut om LeetAgent-spyware van het Italiaanse Memento Labs te leveren

Cyberbeveiliging
Chrome Zero-Day benut om LeetAgent-spyware van het Italiaanse Memento Labs te leveren

De zero-day-exploitatie van een inmiddels gepatcht beveiligingslek in Google Chrome heeft volgens nieuwe bevindingen van Kaspersky geleid tot de distributie van een spionagegerelateerde tool van de Italiaanse informatietechnologie- en dienstverlener Memento Labs.

De kwetsbaarheid in kwestie is CVE-2025-2783 (CVSS-score: 8,3), een geval van sandbox-ontsnapping waarvan het bedrijf in maart 2025 bekendmaakte dat het actief werd uitgebuit als onderdeel van een campagne genaamd Operatie ForumTroll gericht op organisaties in Rusland. Het cluster wordt ook gevolgd als TaxOff/Team 46 door Positive Technologies en Prosperous Werewolf door BI.ZONE. Het is bekend dat het actief is sinds ten minste februari 2024.

De golf van infecties omvatte het versturen van phishing-e-mails met gepersonaliseerde, kortstondige links waarin ontvangers werden uitgenodigd voor het Primakov Readings-forum. Het klikken op de links via Google Chrome of een op Chromium gebaseerde webbrowser was voldoende om een ​​exploit voor CVE-2025-2783 te activeren, waardoor de aanvallers buiten de grenzen van het programma konden breken en tools konden leveren die waren ontwikkeld door Memento Labs.

Memento Labs (ook gestileerd als mem3nt0), met hoofdkantoor in Milaan, werd in april 2019 opgericht na de fusie van InTheCyber ​​Group en HackingTeam (ook bekend als Hacking Team), waarvan de laatste een geschiedenis heeft in het verkopen van aanstootgevende inbraak- en surveillancemogelijkheden aan overheden, wetshandhavingsinstanties en bedrijven, inclusief het maken van spyware die is ontworpen om de Tor-browser te monitoren.

Het meest opvallend is dat de beruchte leverancier van surveillancesoftware in juli 2015 werd gehackt, wat resulteerde in het lekken van honderden gigabytes aan interne gegevens, waaronder tools en exploits. Daartoe behoorde een Extensible Firmware Interface (EFI)-ontwikkelkit genaamd VectorEDK, die later de basis zou worden voor een UEFI-bootkit die bekend staat als MozaïekRegressor. In april 2016 kreeg het bedrijf te maken met een nieuwe tegenslag nadat de Italiaanse exportautoriteiten de vergunning hadden ingetrokken om buiten Europa te verkopen.

In de laatste reeks aanvallen die door de Russische cyberbeveiligingsleverancier zijn gedocumenteerd, waren de lokmiddelen gericht op mediakanalen, universiteiten, onderzoekscentra, overheidsorganisaties, financiële instellingen en andere organisaties in Rusland met als primair doel spionage.

“Dit was een gerichte spear-phishing-operatie, geen brede, willekeurige campagne”, vertelde Boris Larin, hoofdbeveiligingsonderzoeker bij Kaspersky Global Research and Analysis Team (GReAT), aan The Hacker News. “We hebben meerdere inbraken waargenomen tegen organisaties en individuen in Rusland en Wit-Rusland, met lokmiddelen gericht op mediakanalen, universiteiten, onderzoekscentra, overheidsinstanties, financiële instellingen en anderen in Rusland.”

Het meest opvallend is dat de aanvallen de weg vrijmaken voor een voorheen ongedocumenteerde spyware, ontwikkeld door Memento Labs, genaamd LeetAgent, dankzij het gebruik van leetspeak voor zijn opdrachten.

Het startpunt is een validatorfase, een klein script dat door de browser wordt uitgevoerd om te controleren of de bezoeker van de kwaadaardige site een echte gebruiker met een echte webbrowser is, en vervolgens CVE-2025-2783 gebruikt om de sandbox-ontsnapping tot ontploffing te brengen om uitvoering van code op afstand te bewerkstelligen en een lader te plaatsen die verantwoordelijk is voor het starten van LeetAgent.

De malware kan via HTTPS verbinding maken met een command-and-control (C2)-server en instructies ontvangen waarmee deze een breed scala aan taken kan uitvoeren:

  • 0xC033A4D (COMMAND) – Voer de opdracht uit met cmd.exe
  • 0xECEC (EXEC) – Voer een proces uit
  • 0x6E17A585 (GETTASKS) – Krijg een lijst met taken die de agent momenteel uitvoert
  • 0x6177 (KILL) – Stop een taak
  • 0xF17E09 (BESTAND x09) – Schrijven naar bestand
  • 0xF17ED0 (BESTAND xD0) – Lees een bestand
  • 0x1213C7 (INJECT) – Shellcode injecteren
  • 0xC04F (CONF) – Communicatieparameters instellen
  • 0xD1E (DIE) – Afsluiten
  • 0xCD (CD) – Wijzig de huidige werkmap
  • 0x108 (JOB) – Stel parameters in voor keylogger of file stealer om bestanden te verzamelen die overeenkomen met de extensies *.doc, *.xls, *.ppt, *.rtf, *.pdf, *.docx, *.xlsx en *.pptx

De malware die bij de inbraken werd gebruikt, is helemaal terug te voeren tot 2022, waarbij de dreigingsactor ook is gekoppeld aan een bredere reeks kwaadaardige cyberactiviteiten gericht op organisaties en individuen in Rusland en Wit-Rusland, waarbij phishing-e-mails met kwaadaardige bijlagen als distributievector worden gebruikt.

“Vaardigheid in het Russisch en bekendheid met lokale eigenaardigheden zijn onderscheidende kenmerken van de ForumTroll APT-groep, eigenschappen die we ook in andere campagnes hebben waargenomen,” zei Larin. “Fouten in sommige van die andere gevallen suggereren echter dat de aanvallers geen moedertaalsprekers van het Russisch waren.”

Het is vermeldenswaard dat Positive Technologies in dit stadium in een rapport gepubliceerd in juni 2025 ook een identiek cluster van activiteiten onthulde waarbij CVE-2025-2783 werd uitgebuit door een bedreigingsacteur die hij volgt als TaxOff om een ​​achterdeur genaamd Trinper in te zetten. Larin vertelde The Hacker News dat de twee sets aanvallen met elkaar verband houden.

“Bij verschillende incidenten lanceerde de LeetAgent-achterdeur die werd gebruikt in Operatie ForumTroll direct de meer geavanceerde Dante-spyware”, legt Larin uit.

“Buiten deze overdracht hebben we ook overlappingen in de handel waargenomen: identieke persistentie van COM-kapingen, vergelijkbare bestandssysteempaden en gegevens verborgen in lettertypebestanden. We hebben ook gedeelde code gevonden tussen de exploit/loader en Dante. Alles bij elkaar genomen duiden deze punten op dezelfde actor/toolset achter beide clusters.”

Dante, dat in 2022 opkwam als vervanging voor een andere spyware die Remote Control Systems (RCS) wordt genoemd, wordt geleverd met een reeks beveiligingen om analyse te weerstaan. Het vertroebelt de controlestroom, verbergt geïmporteerde functies, voegt anti-debugging-controles toe en bijna elke string in de broncode is gecodeerd. Het bevraagt ​​ook het Windows Event Log naar gebeurtenissen die kunnen wijzen op het gebruik van malware-analysetools of virtuele machines om onder de radar te blijven.

Zodra alle controles zijn doorlopen, start de spyware een orkestratormodule die is ontworpen om via HTTPS met een C2-server te communiceren, andere componenten uit het bestandssysteem of het geheugen te laden en zichzelf op afstand te houden als deze geen opdrachten ontvangt binnen een bepaald aantal dagen dat is opgegeven in de configuratie, en sporen van alle activiteiten te wissen.

Er is momenteel geen informatie over de aard van de aanvullende modules die door de spyware worden gelanceerd. Hoewel niet is waargenomen dat de dreigingsactor achter Operatie ForumTroll Dante gebruikte in de campagne waarbij misbruik werd gemaakt van de beveiligingsfout in Chrome, zei Larin dat er aanwijzingen zijn dat Dante op grotere schaal wordt gebruikt bij andere aanvallen. Maar hij wees erop dat het nog te vroeg is om tot een definitieve conclusie te komen over de reikwijdte of toeschrijving.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Dit Roborock-robotvacuüm van $ 549 is voor een beperkte tijd slechts $ 299 waard

Top 10 manieren om uw slimme huis te beschermen tegen hackers

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]