Una recente campagna di cyber spionaggio ha sfruttato una vulnerabilità zero-day di Google Chrome, identificata come CVE-2025-2783, per diffondere un nuovo spyware avanzato denominato LeetAgent, sviluppato dall’azienda italiana Memento Labs. Questa vulnerabilità, classificata con un punteggio CVSS di 8.3, permetteva agli attaccanti di superare i meccanismi di sandbox del browser, ottenendo così la possibilità di eseguire codice arbitrario sul sistema della vittima.

Operation ForumTroll e modalità di attacco

L’attacco, denominato Operation ForumTroll, ha preso di mira principalmente organizzazioni in Russia, tra cui media, università, centri di ricerca e istituzioni finanziarie. Gli aggressori hanno utilizzato email di phishing altamente mirate, contenenti link personalizzati e temporanei che invitavano le vittime a partecipare a forum o eventi. Bastava cliccare il link tramite Chrome o browser basati su Chromium per attivare l’exploit, che poi scaricava il payload sviluppato da Memento Labs.

Memento Labs e il contesto aziendale

Memento Labs, con sede a Milano, è nata dalla fusione tra InTheCyber Group e HackingTeam, quest’ultima nota per aver fornito in passato strumenti di sorveglianza a governi e agenzie di sicurezza. Dopo diverse controversie, tra cui la revoca della licenza di esportazione da parte delle autorità italiane, l’azienda continua a essere al centro di indagini per lo sviluppo di spyware sofisticati.

Caratteristiche dello spyware LeetAgent

LeetAgent è un malware modulare che si connette a server di comando e controllo tramite HTTPS, consentendo agli attaccanti di eseguire numerose operazioni: esecuzione di comandi, gestione di processi, lettura e scrittura di file, iniezione di shellcode, configurazione di parametri di comunicazione, attivazione di keylogger e furto di documenti nei formati più diffusi. Il malware verifica inoltre che la vittima sia reale, evitando sandbox o analisi automatiche, prima di attivare la fase di infezione.

Gruppi responsabili e collegamenti con altri spyware

Le analisi suggeriscono che il gruppo responsabile, noto anche come TaxOff o Prosperous Werewolf, agisce con una profonda conoscenza delle peculiarità russe, ma non sarebbe composto da madrelingua russi. Inoltre, la campagna è stata collegata allo spyware Dante, sempre di Memento Labs, progettato per ostacolare l’analisi e rilevare strumenti di sicurezza o ambienti virtuali.

Tendenze e implicazioni di sicurezza

Gli attacchi, iniziati almeno dal 2022, riflettono una crescente tendenza nell’uso di vulnerabilità zero-day per scopi di sorveglianza mirata, avvalendosi di strumenti sempre più sofisticati e difficili da individuare, e portano nuovamente l’attenzione sulla necessità di aggiornare tempestivamente i software e migliorare la consapevolezza sulle minacce di phishing.