Een nu afgestemde beveiligingsfout in Google Chrome werd geëxploiteerd als een zero-day door een dreigingsacteur die bekend staat als Taxoff om een achterdeur codenaam te implementeren Trinper.
“De eerste aanvalsvector was een phishing -e -mail met een kwaadwillende link”, zeiden beveiligingsonderzoekers Stanislav Pyzhov en Vladislav Lunin. “When the victim clicked the link, it triggered a one-click exploit (CVE-2025-2783), leading to the installation of the Trinper backdoor employed by TaxOff.”
The email message also contained a link, which downloaded a ZIP archive file containing a Windows shortcut that, in turn, launched a PowerShell command to ultimately serve a decoy document while also dropping a loader responsible for launching the Trinper backdoor by means of the open-source Donut loader. Een variatie van de aanval is gebleken om de donutlader te verwisselen ten gunste van kobaltstaking.
De inbreuk in maart 2024, gedetailleerd door Doctor Web, is opmerkelijk vanwege het feit dat een van de payloads een Dll-kaping van de Yandex-browser (CVE-2024-6473, CVSS-score: 8.4) bewapende als een zero-day om niet-gespecificeerde malware te downloaden en uit te voeren. Het werd opgelost in versie 24.7.1.380 uitgebracht in september 2024.
“Deze groep maakt gebruik van zero-day exploits, waardoor het veilige infrastructuren effectiever kan doordringen,” zeiden de onderzoekers. “The group also creates and uses sophisticated malware, implying that it has a long-term strategy and intends to maintain persistence on the compromised systems for an extended period.”
