Chrome 0day поджарил песочницу

Итальянцы из Memento Labs подсунули миру LeetAgent

Когда Google говорит “песочница защищает”, где-то смеются итальянцы. Новый Chrome 0day, метко обозначенный как CVE-2025-2783, оказался идеальным трамплином для доставки свежего шпионского софта от миланской конторы Memento Labs (в прошлом — скандальный HackingTeam). История началась как типичный апдейт, а закончилась — как очередная операция в духе “мы просто кликнули по ссылке, и жизнь пошла под SYSTEM”.

По данным Kaspersky, этот уязвимый участок в Chrome давал злоумышленникам возможность вылететь из песочницы как из катапульты и исполнять код снаружи. Всё это было частью целевой атаки под кодовым названием Operation ForumTroll, нацеленной на организации в России и Беларуси. Тамошние юзеры получали фишинговые письма с короткими “приглашениями” на форум Primakov Readings — и стоило открыть линк через Chrome, как CVE-2025-2783 выстреливала, ломая песочницу и подгружая подарочек от Memento Labs.

Компания Memento Labs, к слову, — это тот самый респект с привкусом чёрного рынка: в прошлом HackingTeam, известный продажей спайваря и эксплойтов правительствам, корпорациям и тем, кто платит. После того, как их в 2015-м взломали и слили сотни гигабайт внутренних данных (включая исходники и 0day-киты), они притихли, но не исчезли. Спустя пару лет под новым брендом mem3nt0 они снова в строю — с новыми игрушками и тем же почерком.

Их новейший шпион — LeetAgent, название говорит само за себя. Управляется через HTTPS, отдаёт команды в стиле "0xC033A4D — run cmd.exe" и “0x1213C7 — inject shellcode”. Короче, API уровня “делай, что хочешь”. Сначала срабатывает лёгкий “валидатор” — скрипт проверяет, живой ли браузер и не какой-нибудь анализатор. Если всё чисто, эксплойт рвёт песочницу, дропает загрузчик и подгружает сам LeetAgent. После этого заражёнка превращается в шпионский узел с C2-коннектом и командами: запуск процессов, кража файлов, кейлоггер, внедрение шеллкода — весь ассортимент кибер-шпионского бутика.

По данным Positive Technologies и BI.ZONE, за атакой стоит тот же кластер, что они трекают как TaxOff/Team46, а также известный как Prosperous Werewolf. Этот коллектив активно с 2024-го и явно не собирается тормозить. Более того, в некоторых кейсах LeetAgent запускает следующий уровень — продвинутый спайварь Dante, который заменил старую тулзу Remote Control Systems (RCS) от времён HackingTeam. Dante — это уже высший пилотаж: защита от анализа, шифрование строк, COM-хиджинг, антиотладка, работа с Event Log’ом, чтобы спалить песочницы и VM. Если C2 долго молчит — самоуничтожается, вычищая следы.

Забавно, что всё это пришло из страны пасты, вина и Pegasus-на-минималках. Итальянцы из Memento Labs когда-то были вычеркнуты из списка экспортёров кибероружия за “чрезмерную активность”, но, видимо, нашли другие пути доставки. Ирония в том, что уязвимость, которая должна была быть закрыта ещё в марте 2025, сейчас снова оживает — только теперь с подписью “Made in Milan”.

Как подметил Борис Ларин из Kaspersky: “Это не массовая атака, а точечный фишинг с кастомными ссылками и продуманной инженерией”. И если судить по артефактам, атакующие явно не из русскоязычных — но знают локальные особенности так, будто жили на форумах.

Memento Labs в своём стиле — тихо, чисто, дорого. Их LeetAgent — не просто спайварь, а мостик в Dante, где начинается настоящий цифровой ад: скрытые модули, самоуничтожение, зашифрованный трафик, почти невидимый след. И если в 2015-м HackingTeam взломали и посмеялись, то в 2025-м их наследники тихо смеются в ответ — только уже из тени, через 0day и HTTPS.