ForumTroll: APT e spyware Memento Labs sfruttano una 0day Chrome CVE-2025-2783 per espionaggio su Russia e Belarus
Da marzo a ottobre 2025, è stata osservata una campagna APT altamente mirata denominata Operation ForumTroll, centrata su una 0day critica nel browser Google Chrome (CVE-2025-2783, CVSS >9).
Gli attori dietro ForumTroll, legati alla società italiana Memento Labs (ex Hacking Team), hanno sfruttato una vulnerabilità di logica tra sandbox Chrome e gestione dei pseudo-handle su Windows: bastava un click su link phishing inviati a enti accademici, media, banche e ministeri di Russia e Belarus — nessuna azione ulteriore richiesta all’utente.
Il bug risiedeva nel framework Mojo IPC: tramite manipolazione di pseudo-handle e protocollo IPC, il browser concedeva un handle di processo reale in sandbox, permettendo l’esecuzione arbitraria di codice e poi l’installazione di spyware (LeetAgent o Dante) su endpoint target.
Il phishing “Primakov Readings” conteneva link camuffati che, una volta visitati su Chrome (versioni < 134.0.6998.177), portavano a una validator script che decideva se attaccare, inviavano payload multi-stage e attivavano il malware persistente.
La campagna ha utilizzato toolkit commerciali di sorveglianza e un’infrastruttura C2 distribuita, con il malware mascherato da loader JS e payload DLL custom.
Nessuna compromissione su iOS, mentre anche Firefox è stato successivamente patchato per una vulnerabilità correlata (CVE-2025-2857).
Azioni consigliate:
- Applicare sempre subito le patch di Chrome, ora >= 134.0.6998.177/178
- Non aprire link sospetti ricevuti via email, soprattutto se provenienti da enti organizzatori forum/convegni
- Per gli amministratori: rivedere l’esposizione dei browser su endpoint sensibili e segmentare accessi a siti interni
- Verificare la presenza di indicatori di compromissione (apertura “Primakov”, handle IPC anomali, payload DLL in AppData)
- Informare gli utenti sulle campagne di phishing e aggiornamenti urgenti