Un análisis publicado sobre la campaña Operation ForumTroll —activa a inicios de 2025— revela que una vulnerabilidad zero-day en Google Chrome (CVE-2025-2783) fue explotada para distribuir malware de espionaje dirigido. La operación apuntó a organizaciones en Rusia y Bielorrusia: medios, universidades, centros de investigación, organismos gubernamentales y entidades financieras, usando correos de phishing con invitaciones al evento “Primakov Readings”.
Bastaba con cargar el enlace malicioso en cualquier navegador basado en Chromium para comprometer el sistema, gracias a un exploit que escapaba del sandbox del navegador e instalaba un cargador persistente.
Cadena de ataque clara y efectiva
La secuencia de la intrusión incluyó:
Un phishing con enlace temporal y personalizado.
Un script de validación en la web maliciosa que filtraba visitantes para asegurar que sólo fuesen infectados los objetivos de interés.
Explotación del zero-day (CVE-2025-2783) para ejecutar shellcode dentro del proceso del navegador.
Carga de un DLL malicioso que descifraba e inyectaba el payload principal.
El payload principal identificado es LeetAgent, un spyware modular capaz de ejecutar comandos remotos, manejar archivos, registrar teclas y exfiltrar datos. Su implementación muestra particularidades —como el uso de “leetspeak” en sus comandos— que lo hacen distintivo frente a otras familias de malware.
Dante: rasgos heredados de un RCS histórico
En la investigación se identificó además un componente llamado Dante, atribuido a una firma italiana de spyware llamada Memento Labs, formada a partir de activos y personal relacionados con una empresa previa en el mercado del RCS (Remote Control System). Las similitudes de código entre Dante y aquel RCS clásico aumentan la confianza en la atribución a esta nueva compañía.
Dante funciona como spyware modular que descarga componentes desde servidores C2 y dispone de un mecanismo de autodestrucción si pierde comunicación durante cierto periodo, borrando así trazas de su actividad.
LeetAgent y Dante: un combo modular
En algunos incidentes LeetAgent actuó como primer cargador y, posteriormente, desplegó o facilitó la introducción de Dante en los sistemas comprometidos. Debido a que no se pudieron recuperar módulos adicionales en todos los casos, las capacidades completas de Dante aún no están documentadas en detalle; sin embargo, su arquitectura modular sugiere potencial para ampliar funciones de espionaje según objetivos y permisos.
Implicaciones técnicas y operativas
Los atacantes cuidaron la operación para mantener bajo ruido operacional:
Validación en la web maliciosa para filtrar objetivos.
Uso de un zero-day en el navegador para ejecutar código sin interacción adicional.
Loader persistente que garantiza acceso prolongado.
Modularidad para adaptar herramientas al objetivo (ejecución remota, robo de datos, keylogging, exfiltración).
Estas características apuntan a un uso profesional y dirigido de herramientas de spyware comerciales o semicomerciales, y no a campañas masivas indiscriminadas.
Parche y mitigaciones
Google lanzó una corrección para CVE-2025-2783 en Chrome v134.0.6998.178, publicada el 26 de marzo de 2025. Otros navegadores basados en motores similares también aplicaron parches relacionados poco después.
Recomendaciones prácticas inmediatas para organizaciones:
Asegurar que todos los navegadores estén actualizados a versiones parcheadas.
Bloquear o inspeccionar enlaces entrantes en correos con validación de URLs temporales.
Implementar controles de navegación (URL filtering) y sandboxes reforzados para cargas web externas.
Monitorizar indicadores de compromiso relacionados con loaders persistentes y DLLs inyectadas.
Revisar accesos y sesiones posteriores a clics en enlaces sospechosos (evitar confiar solo en MFA sin control de sesiones).
Reflexión final: spyware comercial y responsabilidad
Operation ForumTroll ilustra cómo el mercado del spyware comercial puede reutilizar técnicas y código con impacto operativo real en objetivos específicos. La presencia de herramientas modulares y mecanismos de autodestrucción complica la visibilidad forense y la atribución definitiva.
Esto plantea preguntas importantes sobre la responsabilidad ética y legal de las empresas que desarrollan o comercializan capacidades de vigilancia, y subraya la necesidad de que los equipos de seguridad mantengan capacidad de defensa proactiva frente a exploits de navegador y payloads de espionaje altamente dirigidos.
