Vulnerabilidade CVE-2025-2783 no Chrome viabiliza Operação ForumTroll e instala spyware Dante em instituições russas

Uma falha de dia zero classificada como CVE-2025-2783 no Google Chrome foi usada em uma campanha de espionagem que mirou organizações acadêmicas, financeiras, midiáticas e governamentais localizadas na Rússia. O ataque, documentado pela Kaspersky, combinou links personalizados de curta duração e exploração automática do navegador para instalar ferramentas de vigilância controladas remotamente. Entre elas está o spyware comercial Dante, criado pela desenvolvedora italiana Memento Labs.

O que é a vulnerabilidade CVE-2025-2783

A identificação CVE-2025-2783 descreve uma brecha que permitia escapar do sandbox do Chrome, mecanismo que isola cada aba e procura impedir que código malicioso afete o restante do sistema. Descoberta em março, a falha foi corrigida posteriormente, mas, antes disso, agentes mal-intencionados tiraram proveito do defeito para executar código sem interação adicional da vítima.

Ao burlar o sandbox, o invasor ganhava privilégios além daqueles previstos pelo navegador. Com esse acesso, era possível introduzir outro software nocivo que passava a operar no computador comprometido, coletando dados ou expandindo o controle sobre a máquina-alvo.

Estratégia de entrega: a chamada Operação ForumTroll

O vetor inicial da campanha consistiu no envio de convites falsos para participação em fóruns on-line. As mensagens, distribuídas por e-mail, continham URLs curtas que expiravam rapidamente. Embora parecessem redirecionar o usuário para debates sobre ciência, economia ou política — notadamente o fórum Primakov Readings —, na prática levavam a páginas criadas para ativar a exploração da CVE-2025-2783.

Uma vez que o destinatário clicava no link utilizando o Chrome ou outro navegador baseado em Chromium, o código embutido no site acionava o exploit. Todo o processo ocorria em segundo plano; não era necessário baixar ou executar arquivos manualmente. Por juntar phishing e vulnerabilidade zero-day, os analistas deram ao esquema o nome de Operação ForumTroll.

Ferramenta inicial: o agente LeetAgent

O primeiro componente instalado nos dispositivos foi o LeetAgent. Segundo o relatório, esse agente estabelece comunicação com um servidor remoto por meio de HTTPS, recebendo instruções diversas. Entre as tarefas que ele pode executar estão:

• extração de arquivos armazenados;
• monitoramento de digitação por keylogging;
• criação de entradas adicionais no registro do Windows para se manter ativo e oculto.

Ao permanecer disfarçado no sistema, o LeetAgent prepara o ambiente para cargas mais avançadas sem chamar atenção de softwares de segurança instalados pelo usuário.

Dante: o spyware comercial de alta complexidade

Em determinados casos, os pesquisadores encontraram evidências de que o LeetAgent atuou como porta de entrada para um componente ainda mais sofisticado: o Dante. Esse spyware é uma iteração avançada de uma linha iniciada com o RCS Da Vinci, ferramenta de vigilância corporativa desenvolvida originalmente pela Hacking Team em 2003.

Depois de um vazamento massivo em 2015, a Hacking Team foi vendida e rebatizada como Memento Labs. O Dante, resultado dessa continuidade, incorpora recursos elaborados para dificultar análises forenses e apagar rastros de execução. O histórico da empresa inclui fornecimento de tecnologias de interceptação para agências governamentais, corporações privadas e forças de aplicação da lei, incluindo soluções que possibilitam seguir atividades em navegadores focados em anonimato.

Alvos específicos e distribuição geográfica

A Operação ForumTroll concentrou-se em instituições localizadas na Rússia e, em menor escala, em Belarus. As categorias de vítimas catalogadas pela Kaspersky incluem:

• universidades e centros de pesquisa;
• bancos e demais entidades financeiras;
• organizações de mídia;
• agências governamentais;
• outros órgãos corporativos estratégicos.

Embora o foco tenha sido restrito geograficamente, o método demonstra riscos aplicáveis a qualquer região: convites aparentemente legítimos veiculados por e-mail podem, em poucos cliques, transformar-se em um ponto de entrada para software de espionagem.

Técnicas de persistência e ofuscação

Para permanecer indetectável, o LeetAgent modifica o registro do Windows, criando chaves que asseguram execução automática em reinicializações. Ao mesmo tempo, o Dante emprega mecanismos capazes de excluir evidências e enganar ferramentas de análise, mantendo sigilo das operações de coleta de dados.

Essas características indicam um modelo de ameaça comercializada: o desenvolvedor fornece um pacote que reúne exploração inicial, instalação silenciosa, comando remoto e autodefesa. A combinação maximiza o tempo em que o invasor pode permanecer dentro da rede antes de ser descoberto.

Antecedentes do spyware em campanhas anteriores

A própria Kaspersky relata encontros com variantes do LeetAgent desde 2022. Em todas as ocasiões, os episódios estavam direcionados a pessoas ou entidades sediadas na Rússia ou em Belarus. O padrão sugere continuidade operacional e evolução progressiva dos kits de ferramentas empregados.

Não há confirmação sobre a identidade linguística dos responsáveis, mas o uso de mensagens em russo e a seleção das vítimas reforçam a hipótese de que os autores conhecem o ambiente local. Contudo, sem evidências conclusivas, essa informação permanece em aberto.

Sinais de alerta e boas práticas de prevenção

Os especialistas enfatizam atenção redobrada ao receber e-mails de remetentes desconhecidos. No caso da Operação ForumTroll, o clique em um link aparentemente insignificante foi suficiente para iniciar toda a cadeia de comprometimento, ressaltando que não há necessidade de anexos executáveis quando a exploração se dá diretamente no navegador.

Além disso, a rápida correção aplicada pelo Google evidencia a importância de manter navegadores e sistemas operacionais atualizados, pois falhas de dia zero tendem a ser exploradas logo após sua descoberta pública.

Panorama de impacto e considerações finais de risco

A conjunção entre phishing direcionado, vulnerabilidade não corrigida e spyware de nível comercial cria um cenário de ameaça com potencial de grandes consequências. No caso observado, informações estratégicas de universidades, veículos de imprensa e entidades financeiras russas ficaram suscetíveis a coleta clandestina, comprometendo sigilo acadêmico, dados bancários e comunicações institucionais.

Embora o relatório não detalhe a quantidade de dispositivos afetados nem o volume de dados exfiltrados, a presença do Dante — cuja capacidade de furtividade é reconhecida — aumenta a probabilidade de que parte das intrusões permaneça sem detecção por longos períodos, prolongando o impacto sobre as vítimas.

O episódio ilustra ainda a transição das antigas ferramentas da Hacking Team para a atual Memento Labs, demonstrando que os produtos continuam a circular no mercado de vigilância digital e a ser empregados em contextos geopolíticos sensíveis.