Recent, un grup de actori statali a exploatat o vulnerabilitate zero-day, identificată ca CVE-2025-2783, în browserul Google Chrome pentru o operațiune de spionaj denumită ForumTroll ce viza publicații media și instituții educaționale din Rusia.
Vulnerabilitatea are un grad de severitate ridicat și permite unui atacator să evite protecția sandbox din Google Chrome pentru Windows „ca și cum nici nu ar fi existat”, și a fost descoperită și raportată de experții în securitate informatică de la Kaspersky.
Google a lansat o actualizare pentru Chrome care elimină vulnerabilitatea, descriind-o ca „handle incorect furnizat în circumstanțe nespecificate în Mojo pe Windows” dar nu a distribuit niciun detaliu tehnic referitor la modul de exploatare.
Vulnerabilitate de o complexitate deosebită
Experții de la Kasperky au descoperit exploitul ce includea vulnerabilitatea CVE-2025-2783 în urma unui val de infecții cu malware foarte sofisticat și necunoscut până acum, care era transmis prin email în atacuri țintite de tip phishing.
Pentru compromiterea sistemului Windows, victima trebuia doar să dea click pe un link primit prin email. „Toate linkurile malițioase erau personalizate și au avut o durată de viață foarte scurtă”, spun analiștii.
Complexitatea vulnerabilității este prezentată de către experții de la Kaspersky ca fiind deosebită, pentru că permite unui atacator să evite protecția sandbox-ului Google Chrome „fără a face nimic evident rău intenționat sau interzis”.
„Cauza a fost o eroare logică la intersecția dintre sandbox-ul Google Chrome și sistemul de operare Windows” – Kaspersky
Exploatarea CVE-2025-2783 pentru ieșirea din sandbox-ul Chrome a fost combinată cu un alt exploit, care permitea execuția de cod de la distanță (RCE – remote code execution) pe sistemul Windows compromis.
Deși analiza continuă, investigatorii atacului cred că utilizarea unui malware sofisticat este un indiciu clar către o campanie de spionaj.
Operațiunea ForumTroll
Operațiunea ForumTroll se bazează pe o campanie targhetată de phishing ce distribuia mesaje malițioase aparent din partea organizatorilor forumului internațional Primakov Readings ce reunește experți în domeniul relațiilor internaționale și al economiei mondiale.
Mesajele vizau publicații media și instituții educaționale din Rusia, mai jos fiind exemplificat unul dintre ele.
În momentul de față, linkul malițios nu mai funcționează ca în cadrul atacului și redirecționează către pagina oficială a forumului Primakov Readings.
Experții Kasperky spun că nu au reușit să obțină cel de-al doilea exploit pentru a-l putea analiza.
În baza componentelor atacului descoperite și investigate care indică un nivel tehnic ridicat, analiștii cred că ForumTroll este o operațiune a unui actor statal.
Deși în prezent informațiile sunt limitate, experții de la Kaspesky au de gând să publice mai multe detalii tehnice despre exploitul zero-day, malware-ul sofisticat utilizat, și metodele folosite de atacator.
