Kaspersky’nin yeni bulgularına göre, Google Chrome’daki yamalanmış bir güvenlik kusurunun sıfırıncı gün istismarı, İtalyan bilgi teknolojisi ve hizmet sağlayıcısı Memento Labs’ın casuslukla ilgili bir aracın dağıtımına yol açtı.
Söz konusu güvenlik açığı CVE-2025-2783’tür (CVSS puanı: 8,3), şirketin Mart 2025’te açıkladığı bir sanal alandan kaçış vakası olarak adlandırılan bir kampanyanın parçası olarak aktif istismara maruz kalmıştır. Operasyon ForumuTrol Rusya’daki kuruluşları hedef alıyor. Küme ayrıca Positive Technologies tarafından TaxOff/Team 46 ve BI.ZONE tarafından Prosperous Werewolf olarak takip edilmektedir. En az Şubat 2024’ten beri aktif olduğu biliniyor.
Bulaşma dalgası, alıcıları Primakov Okumaları forumuna davet eden kişiselleştirilmiş, kısa ömürlü bağlantılar içeren kimlik avı e-postalarının gönderilmesini içeriyordu. Google Chrome veya Chromium tabanlı bir web tarayıcısı aracılığıyla bağlantılara tıklamak, CVE-2025-2783’e yönelik bir istismarın tetiklenmesi için yeterliydi; saldırganların programın sınırlarını aşmasına ve Memento Labs tarafından geliştirilen araçları sunmasına olanak tanıdı.
Merkezi Milano’da bulunan Memento Labs (mem3nt0 olarak da stilize edilmiştir), Nisan 2019’da InTheCyber Group ve HackingTeam’in (diğer adıyla Hacking Team) birleşmesinin ardından kuruldu; bu ekibin Tor tarayıcısını izlemek için tasarlanmış casus yazılımlar da dahil olmak üzere hükümetlere, kolluk kuvvetlerine ve şirketlere saldırı amaçlı izinsiz giriş ve gözetleme yetenekleri satma geçmişi vardır.
En önemlisi, kötü şöhretli gözetleme yazılımı satıcısı Temmuz 2015’te bir saldırıya maruz kaldı ve bunun sonucunda araçlar ve açıklardan yararlanmalar da dahil olmak üzere yüzlerce gigabaytlık dahili veri sızdırıldı. Bunlar arasında, daha sonra MosaicRegressor olarak bilinen bir UEFI önyükleme kitinin temeli olacak olan VectorEDK adlı Genişletilebilir Ürün Yazılımı Arayüzü (EFI) geliştirme kiti de vardı. Nisan 2016’da şirket, İtalyan ihracat yetkililerinin Avrupa dışına satış yapma lisansını iptal etmesinden sonra başka bir aksilik yaşadı.
Rus siber güvenlik sağlayıcısı tarafından belgelenen son saldırı dizisinde, tuzaklar, birincil hedefi casusluk olan medya kuruluşlarını, üniversiteleri, araştırma merkezlerini, hükümet kuruluşlarını, finans kurumlarını ve Rusya’daki diğer kuruluşları hedef aldı.
Kaspersky Global Araştırma ve Analiz Ekibi’nin (GReAT) baş güvenlik araştırmacısı Boris Larin, The Hacker News’e şunları söyledi: “Bu, hedef odaklı bir kimlik avı operasyonuydu, geniş kapsamlı ve ayrım gözetmeyen bir kampanya değildi.” “Rusya ve Beyaz Rusya’daki kuruluşlara ve bireylere yönelik, medya kuruluşlarını, üniversiteleri, araştırma merkezlerini, hükümet organlarını, finans kurumlarını ve Rusya’daki diğerlerini hedef alan tuzaklarla çok sayıda saldırı gözlemledik.”
En önemlisi, saldırıların, komutları için leetspeak’in kullanılması nedeniyle Memento Labs tarafından geliştirilen LeetAgent adlı daha önce belgelenmemiş bir casus yazılımın önünü açtığı keşfedildi.
Başlangıç noktası, kötü amaçlı siteye gelen ziyaretçinin gerçek bir web tarayıcısına sahip gerçek bir kullanıcı olup olmadığını kontrol etmek için tarayıcı tarafından yürütülen küçük bir komut dosyası olan doğrulama aşamasıdır ve daha sonra uzaktan kod yürütmeyi sağlamak ve LeetAgent’ı başlatmaktan sorumlu bir yükleyiciyi bırakmak amacıyla sanal alan kaçışını patlatmak için CVE-2025-2783’ten yararlanır.
Kötü amaçlı yazılım, HTTPS üzerinden bir komuta ve kontrol (C2) sunucusuna bağlanma ve çok çeşitli görevleri gerçekleştirmesine olanak tanıyan talimatları alma yeteneğine sahiptir:
- 0xC033A4D (KOMUT) – cmd.exe’yi kullanarak komutu çalıştırın
- 0xECEC (EXEC) – Bir işlemi yürütün
- 0x6E17A585 (GETTASKS) – Aracının o anda yürütmekte olduğu görevlerin listesini alın
- 0x6177 (KILL) – Bir görevi durdur
- 0xF17E09 (DOSYA \x09) – Dosyaya yaz
- 0xF17ED0 (DOSYA \xD0) – Bir dosyayı oku
- 0x1213C7 (INJECT) – Kabuk kodunu enjekte et
- 0xC04F (CONF) – İletişim parametrelerini ayarlayın
- 0xD1E (DIE) – Çık
- 0xCD (CD) – Geçerli çalışma dizinini değiştirin
- 0x108 (İŞ) – *.doc, *.xls, *.ppt, *.rtf, *.pdf, *.docx, *.xlsx ve *.pptx uzantılarıyla eşleşen dosyaları toplamak için keylogger veya dosya hırsızı parametrelerini ayarlayın
İzinsiz girişlerde kullanılan kötü amaçlı yazılımın izi 2022 yılına kadar uzanıyor; tehdit aktörü aynı zamanda bir dağıtım vektörü olarak kötü amaçlı ekler taşıyan kimlik avı e-postalarını kullanarak Rusya ve Beyaz Rusya’daki kuruluş ve bireyleri hedef alan daha geniş bir kötü amaçlı siber faaliyetler kümesiyle de bağlantılı.
Larin, “Rusça yeterliliği ve yerel özelliklere aşinalık, ForumTroll APT grubunun ayırt edici özellikleridir ve diğer kampanyalarında da gözlemlediğimiz özelliklerdir” dedi. “Ancak diğer vakaların bazılarındaki hatalar, saldırganların anadili Rusça olmayan kişiler olduğunu gösteriyor.”
Bu aşamada Positive Technologies’in Haziran 2025’te yayınlanan bir raporda, CVE-2025-2783’ün TaxOff olarak takip ettiği bir tehdit aktörü tarafından Trinper adında bir arka kapı açmak için istismar edilmesini içeren benzer bir faaliyet kümesini de açıkladığını belirtmekte fayda var. Larin, The Hacker News’e iki saldırı dizisinin birbiriyle bağlantılı olduğunu söyledi.
Larin, “Birkaç olayda, ForumTroll Operasyonunda kullanılan LeetAgent arka kapısı doğrudan daha gelişmiş Dante casus yazılımını başlattı” diye açıkladı.
“Bu aktarımın ötesinde, ticarette çakışmalar gözlemledik: aynı COM ele geçirme kalıcılığı, benzer dosya sistemi yolları ve yazı tipi dosyalarında gizlenmiş veriler. Ayrıca açıktan yararlanma/yükleyici ile Dante arasında paylaşılan kod bulduk. Birlikte ele alındığında, bu noktalar her iki kümenin arkasında aynı aktörü/araç setini gösterir.”
2022 yılında Uzaktan Kontrol Sistemleri (RCS) olarak adlandırılan başka bir casus yazılımın yerini almak üzere ortaya çıkan Dante, analize direnmek için bir dizi korumayla birlikte geliyor. Kontrol akışını gizler, içe aktarılan işlevleri gizler, hata ayıklamayı önleyici kontroller ekler ve kaynak kodundaki neredeyse her dize şifrelenir. Ayrıca, radarın altından geçmek için kötü amaçlı yazılım analiz araçlarının veya sanal makinelerin kullanıldığını gösterebilecek olaylar için Windows Olay Günlüğünü de sorgular.
Tüm kontroller geçildikten sonra, casus yazılım, HTTPS aracılığıyla bir C2 sunucusuyla iletişim kurmak, dosya sisteminden veya bellekten diğer bileşenleri yüklemek ve yapılandırmada belirtilen belirli sayıda gün içinde komutları almazsa kendisini uzaklaştırmak ve tüm etkinliklerin izlerini silmek üzere tasarlanmış bir orkestratör modülünü başlatmaya devam eder.
Şu anda casus yazılım tarafından başlatılan ek modüllerin niteliği hakkında hiçbir bilgi bulunmamaktadır. ForumTroll Operasyonu’nun arkasındaki tehdit aktörünün, kampanyada Chrome güvenlik açığından yararlanarak Dante kullandığı görülmezken Larin, Dante’nin diğer saldırılarda daha yaygın kullanıldığına dair kanıtların bulunduğunu söyledi. Ancak kapsam veya atıf hakkında kesin bir sonuca varmak için henüz çok erken olduğuna dikkat çekti.