MADRID, 4 Nov. (Portaltic/EP) -
Una campaña de ciberespionaje altamente sofisticada que aprovechó una vulnerabilidad de día cero en Chrome permitió identificar nuevo 'spyware' vinculado a un grupo de ciberdelincuentes que se creía inactivo desde hace varios años.
El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha descubierto evidencias que vinculan al sucesor de HackingTeam, Memento Labs, con una nueva oleada de ciberataques.
En el centro de la investigación se encuentra la 'Operación ForumTroll', una campaña APT que aprovechaba una vulnerabilidad en Chrome identificada como CVE-2025-2783 y calificada de gravedad alta, que permitía evadir el entorno aislado ('sandbox') con un archivo malicioso, como un enlace, y tomar el control del ordenador.
Aunque Google corrigió la vulnerabilidad con la versión 134.0.6998.177/.178 de Chrome, los ciberatacantes consiguieron explotarla para distribuir el 'software' espía LeetAgent a través de correos de 'phishing' personalizados.
En una investigación más profunda, los expertos de Kaspersky identificaron que LeetAgent empleaba comandos escritos en leetspeak, un rasgo poco común en el 'malware' APT. Compartía, además, herramientas con el 'malware' conocido como Dante.
Fue este segundo 'malware' el que permitió al equipo de Kaspersky vincular la Operación ForumTroll con Memento Labs, la empresa sucesora de HackingTeam, que se creía inactiva desde 2015, después de que su infraestructura fuera 'hackeada' y una parte importante de su documentación interna expuesta.
Ello se debe a que Dante, que en ocasiones lanzaba LeetAgent como segundo 'spyware' y con el que compartía cargador, tenía también similitudes con el 'software' espía Remote Control System de HackingTeam. Sin embargo, desentrañar Dante no fue sencillo, como han explicado desde Kaspersky en una nota de prensa, ya que utilizaba técnicas sofisticadas para evitar ser analizado, como camuflar su código con herramientas como VMProtect.
GReAT identificó la Operación ForumTroll a principios de año, en marzo, lo que permitió a Google parchear la vulnerabilidad con rapidez. Aun así, la campaña se dirigió contra medios de comunicación rusos, organismos gubernamentales, instituciones educativas y entidades financieras.