Mercenários digitais no Google Chrome

Postado por Gerson Raymond em out 31, 2025 em BÁSICO, DIVERSOS, EXPLORANDO, NOTÍCIAS |

Comentários desativados

Mercenários digitais: A conexão entre a Memento Labs, Zero-Days no Chrome e o Spyware Dante

A notícia da Kaspersky, detalhada pelo Caveira Tech, sobre a ligação entre a empresa italiana de spyware Memento Labs e a exploração de uma vulnerabilidade zero-day crítica no Google Chrome (CVE-2025-2783) é mais do que um alerta de segurança; é um mergulho profundo no complexo e sombrio mercado de vigilância comercial. O incidente, batizado de Operação ForumTroll, não só expõe a fragilidade dos navegadores mais usados do mundo, mas também ressuscita o fantasma da infame Hacking Team, uma lição de que o conhecimento ofensivo nunca desaparece, apenas muda de roupagem corporativa. Para o analista de cibersegurança, este caso é a prova de que as ameaças mais sofisticadas vêm de fornecedores com know-how estatal e recursos financeiros robustos.

O legado sombrio: Da hacking Team à Memento Labs

O contexto histórico é essencial. A Memento Labs foi fundada após a aquisição da notória Hacking Team pelo grupo IntheCyber. A Hacking Team, sediada em Milão, ganhou notoriedade global em 2015, quando foi invadida e teve seus segredos expostos, revelando a venda de seu spyware Remote Control System (RCS) para regimes autoritários e agências de inteligência, além do uso comercial de zero-days. A Memento Labs é, portanto, a herdeira direta dessa expertise e desses ativos. Quatro anos após sua aquisição, a Memento Labs apresentou seu novo produto, o spyware Dante. A atribuição da Kaspersky, com alta confiança, de que o malware Dante e ferramentas relacionadas derivam ou compartilham similaridades de código com o antigo RCS reforça a continuidade desse “mercado de mercenários digitais”.

A Operação ForumTroll: Um ataque de precisão e engenharia social

A Operação ForumTroll, descoberta em março de 2025, ilustra a sofisticação da tática. O ataque começa com um spear-phishing direcionado a organizações russas – incluindo veículos de mídia, universidades, órgãos governamentais e instituições financeiras. A isca era um convite elaborado para o fórum “Primakov Readings”, contendo um link malicioso. Este é um exemplo de watering hole altamente direcionado. O atacante utilizou um script para validar o visitante, garantindo que apenas os alvos específicos fossem infectados.

A cadeia de ataque subsequente é técnica e implacável:

Exploração Zero-Day: Ao abrir o link, a vítima era infectada pela exploração do CVE-2025-2783, uma vulnerabilidade zero-day do tipo sandbox escape no Google Chrome.
Execução e persistência: A falha permitia a execução de shellcode no processo do navegador, instalando um loader persistente que injetava uma DLL maliciosa.
Implantação do spyware: A DLL decriptava o payload principal, denominado LeetAgent, um spyware modular que permitia comandos, operações de arquivo, keylogging e roubo de dados.

O uso da vulnerabilidade zero-day no Chrome (e posteriormente no Firefox, registrado como CVE-2025-2857) demonstra o alto custo e a capacidade técnica por trás dessas operações, que exigem vastos recursos para descobrir e explorar falhas desconhecidas.

LeetAgent e Dante: Ferramentas modulares de espionagem

O spyware LeetAgent, rastreado em ataques desde 2022 contra alvos na Rússia e Bielorrússia, destaca-se pelo uso de leetspeak (substituição de letras por números, ex: L33t) em seus comandos – uma marca de malware comercial. Ele é um spyware modular que, em alguns casos, serviu como vetor de introdução para o malware Dante.

O Dante, o novo produto da Memento Labs, é notavelmente projetado para ser discreto. Ele é modular e busca seus componentes em um servidor C2 (Comando e Controle). Uma de suas características de segurança é o mecanismo de autoexclusão: se o malware não receber comunicação do servidor por um determinado número de dias, ele apaga todos os vestígios de sua atividade. Embora os pesquisadores não tenham conseguido recuperar todos os módulos para análise completa, essa funcionalidade sugere uma ferramenta de espionagem de alta prioridade, onde a proteção da própria ferramenta é crucial.

Conclusão

A Operação ForumTroll e a ligação com a Memento Labs é um alerta sombrio sobre a comercialização e proliferação de armas cibernéticas avançadas. Quando zero-days e spyware de nível estatal são vendidos como produtos comerciais, o risco de vigilância e ciberespionagem atinge não apenas governos e ativistas, mas qualquer organização que se torne um alvo de interesse geopolítico ou econômico. A lição é que a defesa não pode mais confiar apenas na correção de vulnerabilidades conhecidas; ela deve investir em detecção de comportamento e na arquitetura de Zero Trust, presumindo que os endpoints e navegadores podem ser comprometidos a qualquer momento. A única maneira de combater a sofisticação da Memento Labs é com uma vigilância incessante sobre o tráfego de rede e a atividade de endpoints.

Referências Bibliográficas

Google Project Zero Blog. O grupo de pesquisa de segurança do Google é o principal responsável por descobrir e divulgar zero-days explorados em produtos do Google e outros softwares. Acompanhar seus relatórios é crucial para entender o panorama de exploração ativa. Disponível em: https://googleprojectzero.blogspot.com/
Kaspersky Global Research and Analysis Team (GReAT) Reports. A fonte primária de inteligência sobre a Operação ForumTroll e a análise técnica dos malwares LeetAgent e Dante. Estes relatórios são essenciais para entender a profundidade e complexidade das ferramentas de espionagem. Disponível em: https://securelist.com/
CAVEIRA TECH. https://caveiratech.com/post/empresa-italiana-de-spyware-e-ligada-a-ataques-zero-day-no-chrome-6988951