Kerentanan zero-day di Google Chrome, yang dieksploitasi dalam Operation ForumTroll awal tahun ini, mengirimkan malware yang terkait dengan vendor spyware Italia Memento Labs, yang lahir setelah IntheCyber Group mengakuisisi Tim Peretasan yang terkenal itu.
Operasi ForumTroll tadinya ditemukan oleh Kaspersky pada bulan Maret. Kampanye ini menargetkan organisasi-organisasi Rusia – media, universitas, pusat penelitian, organisasi pemerintah, dan lembaga keuangan, dengan undangan yang dibuat dengan baik ke forum Primakov Readings yang berisi tautan jahat.
Memuat tautan di browser web berbasis Chromium apa pun sudah cukup untuk menginfeksi sistem komputer. Peneliti Kaspersky mengatakan pengiriman malware dilakukan dengan mengeksploitasi CVE-2025-2783, sandbox escape zero-day di browser Chrome.
.jpg)
Sumber: Kaspersky
Dalam laporannya hari ini, Kaspersky menerbitkan rincian lebih lanjut tentang rantai serangan digunakan dalam Operasi ForumTroll, mengatakan bahwa malware yang digunakan dalam kampanye tersebut setidaknya berasal dari tahun 2022 dan menyebabkan ditemukannya serangan lain terhadap organisasi di Rusia dan Belarus.
Menganalisis serangan lama, para peneliti menemukan “sebuah malware tak dikenal yang kami identifikasi sebagai spyware komersial bernama “Dante” dan dikembangkan oleh perusahaan Italia Memento Labs.”
Memento Labs adalah nama perusahaan baru yang dibangun berdasarkan penelitian dan keahlian mantan ‘Tim Peretasan’, vendor spyware yang berbasis di Milan yang sebelumnya dikenal dengan Sistem Kendali Jarak Jauh (RCS) yang dijual kepada pihak berwenang sebagai alat pengawasan.
Tim Peretasan dibobol pada tahun 2015, dan insiden tersebut menentukan nasib perusahaan tersebut karena mengungkapkan penjualan ke rezim otoriter, akses ke eksploitasi zero-day, dan interaksi dengan klien intelijen pemerintah.
Pada tahun 2019, perusahaan tersebut diakuisisi oleh InTheCyber Group, yang menggunakan aset Tim Peretasan untuk membentuk Memento Labs.
Empat tahun kemudian, pada konferensi ISS Dunia Timur Tengah dan Afrika, Memento Labs memperkenalkan spyware Dante barunya, meskipun rinciannya tetap dirahasiakan.
Agen Leet dan Dante
Serangan Operasi ForumTroll dimulai dengan email phishing dengan tautan yang dipersonalisasi dan berumur pendek ke situs jahat, di mana skrip validator memfilter pengunjung untuk memastikan bahwa hanya target yang diinginkan yang disusupi.
Pada langkah selanjutnya, penyerang mengeksploitasi CVE-2025-2783 untuk mencapai eksekusi shellcode pada proses browser korban dan menginstal pemuat persisten untuk menyuntikkan DLL berbahaya.
DLL mendekripsi muatan utama yang disebut LeetAgent, spyware modular yang mendukung eksekusi perintah, operasi file, keylogging, dan pencurian data.
Peneliti Kaspersky mencatat bahwa LeetAgent unik dalam penggunaan leetspeak dalam implementasi perintah, dan percaya bahwa ini mungkin juga merupakan alat spyware komersial.
.jpg)
Sumber: Kaspersky
Para peneliti menelusuri penggunaan LeetAgent hingga serangan pada tahun 2022 terhadap sasaran di Rusia dan Belarus. Dalam beberapa kasus, LeetAgent digunakan untuk memperkenalkan Dante.
Karena kesamaan kode Dante dengan malware RCS milik Tim Peretasan, peneliti Kaspersky memiliki keyakinan tinggi dalam menghubungkan alat tersebut dengan Memento Labs.
Dante adalah spyware modular yang mengambil komponen dari server perintah dan kontrol (C2). Jika tidak ada komunikasi yang diterima dari server penyerang selama beberapa hari tertentu, malware tersebut akan “menghapus dirinya sendiri dan semua jejak aktivitasnya”.
Para peneliti tidak dapat mengambil modul apa pun untuk dianalisis, sehingga fitur dan kemampuan spesifik dari spyware Dante tetap tidak terdokumentasi.
Penting untuk dicatat bahwa meskipun Kaspersky mengaitkan spyware canggih tersebut dengan Memento Labs dengan keyakinan tinggi, pembuat zero-day Chrome sandbox-escape bisa jadi adalah entitas yang berbeda.
Chrome memperbaiki CVE-2025-2783 masuk versi 134.0.6998.178dirilis pada 26 Maret. Mozilla juga membahas hal tersebut masalah di Firefoxdilacak sebagai CVE-2025-2857, di browser versi 136.0.4.
BleepingComputer telah menghubungi Memento Labs untuk meminta komentar atas temuan Kaspersky, namun belum menerima tanggapan hingga waktu penerbitannya.
