A Kaspersky identificou uma campanha de ciberespionagem sofisticada explorando a primeira vulnerabilidade zero-day do Chrome em 2025, associada a ferramentas utilizadas pelo novo spyware do Hacking Team – agora rebatizado como Memento Labs.

A falha, rastreada como CVE-2025-2783, é descrita como uma vulnerabilidade de sandbox escape no navegador Chrome e foi explorada em ataques direcionados a setores de educação, finanças, governo, mídia e pesquisa na Rússia. Uma vulnerabilidade semelhante também afetou o Firefox, catalogada como CVE-2025-2857.

Operação ForumTroll: a campanha de espionagem

Batizada de Operação ForumTroll, a campanha utilizava e-mails de phishing disfarçados como convites para fóruns online. As mensagens continham links personalizados e de curta duração que redirecionavam as vítimas para sites maliciosos hospedando o código explorador da vulnerabilidade do Chrome.

Uma vez executado, o código validava o usuário, burlava o sandbox do navegador e injetava shellcode, o que levava à instalação de um malware loader. Para manter persistência, o código criava novas entradas no registro do Windows, sequestrando a ordem de busca de objetos COM do sistema operacional.

LeetAgent: o spyware em ação

A carga final da Operação ForumTroll era o LeetAgent, um spyware escrito em leetspeak capaz de registrar teclas digitadas, roubar arquivos e receber comandos remotos via HTTPS. O comando e controle (C&C) do malware estava hospedado na infraestrutura em nuvem da Fastly.net.

Segundo a Kaspersky, o LeetAgent tem sido utilizado desde 2022 em ataques direcionados a organizações na Rússia e Bielorrússia, e em alguns casos serviu como porta de entrada para uma ameaça mais avançada — o Dante, spyware desenvolvido pela empresa italiana Memento Labs (antiga Hacking Team).

Hacking Team, Memento Labs e o retorno do spyware “Dante”

Fundada em 2003, a Hacking Team ficou famosa por seu software de vigilância Remote Control Systems (RCS), também conhecido como Da Vinci, amplamente utilizado por governos ao redor do mundo. Após o vazamento de dados em 2015, a empresa foi adquirida em 2019 pelo grupo InTheCyber e passou a se chamar Memento Labs.

A nova ferramenta de espionagem, Dante, apresenta características semelhantes ao antigo RCS, com foco em evasão de detecção e análise forense. O spyware utiliza um orquestrador modular, que carrega componentes sob demanda e verifica o ambiente infectado. Caso não receba comandos do servidor C&C por um período determinado, ele se autodeleta do sistema, dificultando a investigação.

Relações entre as campanhas

Embora o Dante não tenha sido utilizado diretamente na Operação ForumTroll, a Kaspersky destaca semelhanças de código e técnicas entre essa operação e outras em que o spyware foi empregado. Isso inclui padrões de persistência, caminhos de arquivos, dados ocultos em fontes e código compartilhado entre o exploit, o loader e o próprio Dante.

Essas descobertas reforçam a crescente sofisticação e modularidade das campanhas de espionagem digital patrocinadas por Estados, bem como o reaproveitamento de ferramentas originalmente criadas para fins de vigilância por empresas privadas.

Para saber mais, clique aqui.