La última amenaza en Google Chrome revela el alcance de los ciberataques avanzados
Una vulnerabilidad de día cero crítica en Google Chrome, que ha sido identificada como CVE-2025-2783, ha sido explotada activamente en una operación de espionaje dirigida, la cual ha sido conocida como Operation ForumTroll.
Según nuevas investigaciones de institutos especializados y empresas del sector, los ciberataques están vinculados al grupo conocido como Mem3nt0 Mori, llamado también ForumTroll APT, además, muestran indicios del uso de herramientas desarrolladas por el proveedor de spyware italiano, llamado Memento Labs.
El incidente ha comenzado hace unos meses de este año, cuando las víctimas han recibido correos de phishing extremadamente personalizados, que invitaban a participar en un foro llamado “Primakov Readings”. Dichos mensajes, que han sido elaborados con absoluto detalle para parecer legítimos, incluían enlaces maliciosos que solo permaneció activos por poco tiempo.
Ante esto, solo bastaba con hacer clic para que las víctimas quedaran comprometidas, debido a que no se requería ninguna acción adicional de dichos usuarios.
Los objetivos principales han sido empresas con perfiles estratégicos en Rusia y Bielorrusia, entre las cuales figuran centros de investigación, universidades, instituciones financieras y agencias de gobiernos. Una vez que la atención de la víctima ha sido captada, el enlace la dirigía a una cadena de explotación que los expertos describen como precisa y silenciosa.
Los análisis técnicos han revelado que los ciberdelincuentes emplearon un exploit de escape de sandbox para comprometer Chrome y otros navegadores que están basados en Chromium. La falla provenía de un descuido lógico en la manera en la que Windows maneja los llamados pseudo handles, lo que permitía ejecutar código arbitrario directamente dentro de los procesos del navegador.
TIC Defense se centra en prevenir y dar respuesta rápida a todo tipo de incidentes. Además, protegemos la información digital de tu empresa con un conjunto de herramientas y soluciones de última tecnología, las cuales se adaptan a las necesidades de tu compañía.
El gigante tecnológico Google ha corregido el problema rápidamente en la última versión de Chrome, mientras que los desarrolladores de Mozilla Firefox han identificado un problema relacionado en su propio navegador, el cual ha sido solucionado como CVE-2025-2857.
Igualmente, los especialistas han rastreado diversas herramientas utilizadas en la operación hasta campañas del año 2022, atribuidas también al grupo Mem3nt0 Mori. En ellas se usaba un spyware denominado LeetAgent, capaz de ejecutar comandos de forma remota, activar keyloggers en segundo plano y extraer documentos en diversos formatos como .pdf, .docx y .xlsx.
En una evaluación más profunda los expertos han descubierto además el uso de Dante, una plataforma de espionaje comercial que ha sido desarrollada por Memento Labs, una empresa que ha salido de la antigua suite Remote Systems. Este spyware destaca por tener mecanismos destacados de evasión, el uso de comunicaciones cifradas y su capacidad para operar discretamente incluso en entornos monitoreados.
Por ello, su incorporación en estas campañas maliciosas indica una escalada notable en la capacidad técnica del grupo de ciberdelincuentes. Los expertos han concluido que Mem3nt0 Mori ha integrado componentes basados en Dante dentro de la operación ForumTroll, identificando la primera vez que se observa este spyware comercial en uso real contra objetivos específicos.
