Egy újabb, aggasztó példája annak, milyen gyorsan képesek a kémprogram-fejlesztők egyetlen böngészési hibát fegyverként használni: kutatók megerősítették, hogy egy eddig ismeretlen 0-day sebezhetőséget a Google Chrome-ban aktívan kihasználtak célzott kémkedési akciókban – a műveletet pedig egy Olaszországban működő, ismét feltűnt megfigyelési szoftver-gyártóhoz kötik.
A hiba és kihasználása
A sérülékenység azonosítója: CVE-2025-2783
A hibát a U.S. NVD „incorrect handle provided in unspecified circumstances in Mojo in Google Chrome on Windows prior to version 134.0.6998.177” leírással tartja nyilván – azaz egy rosszul kezelt „handle” segítségével a támadó megszökhetett a Chrome sandboxból és távoli kódfuttatást érhetett el.
Egyszerűbben: a Chrome-ban működő biztonsági „homokozó”, amelynek el kellene zárnia a webes folyamatokat a rendszertől, átjárhatóvá vált – így a támadók rendszerszintű hozzáférést szerezhettek.
A Google már 2025. márciusában javítást adott ki (verzió: 134.0.6998.177/.178), de a kutatások szerint az exploittal végzett támadások már korábban is folytak, és a kihasználási időszak jóval hosszabb lehetett.
A kifinomult kémhadjárat: Operation ForumTroll
A Kaspersky GReAT team azonosította a kampányt, és Operation ForumTroll néven jelentette.
A támadások Oroszországban és Fehéroroszországban működő szervezeteket céloztak: médiaintézményeket, egyetemeket, állami szerveket és pénzügyi intézményeket.
A célzott áldozatok hitelesnek tűnő konferencia-meghívókat kaptak (pl. „Primakov Readings” fórum), melyekre kattintva már a link megnyitása is elegendő volt a fertőzéshez – nem kellett semmit letölteniük.
A támadás menete:
1️⃣ A böngésző azonosítására szolgáló validator script szűrte ki a kutatói vagy sandbox környezeteket.
2️⃣ Sikeres ellenőrzés után egy kriptográfiai kézfogás (Elliptic-Curve Diffie-Hellman) dekódolta a rejtett payloadot (pl. JavaScript-fájlban, fontban elrejtve).
3️⃣ A sandboxból való szökést követően a támadók a V8 engine inspector és az IPCZ-könyvtár komponenseit „hookolták”, és a folyamatokat leállítva persistent loader-t injektáltak.
4️⃣ Ez a loader COM és DLL-kapcsolatokon keresztül (pl. twinapi.dll felülírásával) érte el, hogy a kémprogram rendszerfolyamatokban – pl. rdpclip.exe – futva rejtőzködjön.
A végső terhelés: LeetAgent – egy ritka, professzionális kémprogram, amely:
- billentyűnaplózást (keylogging),
- dokumentum- és PDF-exfiltrációt,
- folyamat-injektálást végez.
A Kaspersky kód-egyezéseket talált a Dante nevű, kereskedelmi kémszoftver-keretrendszerrel, amelyet az olasz Memento Labs (korábban Hacking Team) fejlesztett.
A kémprogram-lánc visszakövetése
A milánói Memento Labs a hírhedt Hacking Team utódcége, amelyet 2015-ben szivárogtattak ki kormányzati kémprogram-ügyletei miatt.
A Dante keretrendszert korábban, 2023-ban tették közzé, de ez az első dokumentált 0-day böngésző-alapú bevetése.
Elemzések szerint a LeetAgent már 2022-től aktív, és a ForumTroll-kampányban átmeneti „betöltőként” szolgált a Dante-implantátumhoz.
„Több esetben a LeetAgent-hátsóajtó közvetlenül a Dante spyware-t indította el.” – The Hacker News
Miért veszélyesebb a szokásosnál?
- APT-szintű támadás: célzott, kis számú, nagy értékű célpont, nem zsaroló- vagy pénzszerző jelleg.
- Sandbox-szökés: a legveszélyesebb böngészőhiba-típus – a támadó nemcsak a böngészőt, hanem a teljes rendszert kompromittálja.
- Kereskedelmi spyware-újjászületés: az eszközlánc mutatja, hogy a Hacking Team utódai továbbra is aktívak a kiberkémkedésben.
Mit tehetnek a felhasználók és szervezetek?
🔧 Azonnali lépések
1️⃣ Frissítsd a Chrome-ot legalább v134.0.6998.177/.178 verzióra (Windows).
2️⃣ Kapcsold be az Enhanced Safe Browsing módot a Chrome-ban.
3️⃣ Ellenőrizd a fertőzés jeleit (IoC-k):
- ismeretlen Chrome-profilok,
- nem várt COM-kulcsok a Registry-ben,
- %LocalAppData% alatt base64-nevű mappák,
- szokatlan HTTPS-forgalom Fastly-szerű CDN-ek felé,
- rdpclip.exe-hez kapcsolódó anomáliák.
4️⃣ Szervezeti szinten: - ellenőrizd a phishing-védelmet és e-mail-szűrőket,
- auditáld a böngésző sandbox-naplókat, COM-perzisztenciát, endpoint-telemetriát,
- izoláld a magas kockázatú böngészést (pl. VDI, sandbox-VM).
Miért kulcsfontosságú ez az incidens?
1️⃣ A böngésző maradt a fő kapu – ha a sandbox átjárható, a támadók a rendszerbe jutnak.
2️⃣ A kereskedelmi spyware piac újraéled – a Dante / LeetAgent-lánc újra felveti a megfigyelő szoftverek szabályozásának kérdését.
3️⃣ A támadási lánc réteges – kriptográfiai validáció, többfázisú loader, COM-perzisztencia.
4️⃣ A phishing még mindig a belépési pont.
5️⃣ A geopolitikai kockázat globális.
Előretekintés
A Chrome-frissítés elérhető, de a támadók valószínűleg nem állnak meg itt.
Az elemzők szerint a handle-alapú IPC-hibák más szoftverekben is megbújhatnak.
A Hacking Team-örökség újra megjelenése pedig a megfigyelési eszközök nemzetközi szabályozásának sürgős újragondolását teszi szükségessé.
Összegzés
Ez az incidens az elmúlt évek egyik legkifinomultabb böngésző-alapú kémművelete.
Az üzenet világos:
Frissíts most. Ellenőrizz. Védd a böngészési láncot.
🛡️ SOC / EDR Rövid Jelentés
CVE: 2025-2783
Exploit típus: sandbox-escape → COM persistence
Malware: LeetAgent → Dante implant
Attribúció: Operation ForumTroll / Memento Labs (IT)
Támadási vektor: spear-phishing → drive-by exploit
Fő IoC-k / műszaki jelek:
- RegKey Hijack:
HKCU\Software\Classes\CLSID\{GUID}\InprocServer32 = twinapi.dll (modified) - Fájlok:
%LOCALAPPDATA%\[base64]\rdpclip_loader.dll - C2-host: Fastly CDN alhálózatok (TLS handshake ECDH)
- Folyamat:
rdpclip.exeszokatlan child process / network outbound
EDR/SIEM query példa:
DeviceProcessEvents
| where InitiatingProcessFileName == "chrome.exe"
| where FileName in ("rdpclip.exe", "regsvr32.exe")
| where InitiatingProcessCommandLine contains "twinapi.dll"
Mitigációs javaslatok:
- Automatikus böngésző-frissítés kényszerítése (GPO / Intune).
- EDR szabály sandbox-szökés / COM-DLL betöltésre.
- High-risk user VDI / isolation policy.
- Felhasználói tudatossági értesítés: „konferenciameghívó” phishing – figyelmeztető körlevél.
