Operation ForumTroll : zero‑day Chrome (CVE‑2025‑2783) et découverte du spyware Dante

En mars 2025, Kaspersky a révélé qu’une campagne de cyberespionnage baptisée Operation ForumTroll exploitait une vulnérabilité critique et zero‑day de Google Chrome (CVE‑2025‑2783). Cette campagne, ciblant des entités russes par des courriels de phishing, a conduit les chercheurs à mettre au jour un logiciel espion commercial avancé nommé Dante.

Chaîne d’attaque de l’opération ForumTroll

Le scénario d’intrusion décrit par Kaspersky se déroule en plusieurs étapes :

• Envoi d’un e‑mail de phishing personnalisé, présenté comme une invitation aux « Primakov Readings » ; les messages sont bien rédigés en russe, même si certaines fautes laissent penser que les auteurs ne sont pas natifs.
• Le courriel contient un lien malveillant : le simple clic suffit à exploiter la faille zero‑day de Chrome, permettant une exécution sans autre interaction de l’utilisateur.
• Le premier implant déployé est LeetAgent, un chargeur (loader) qui établit la communication avec le serveur de commande et contrôle (C2).

Si Dante n’a pas été directement déployé lors de cette campagne initiale, l’analyse élargie des outils du groupe a permis de relier LeetAgent à des attaques remontant à 2022 et d’identifier des cas où il servait de loader pour un spyware plus sophistiqué.

Découverte et caractéristiques du spyware Dante

Les chercheurs attribuent Dante à Memento Labs, société italienne récemment renommée, anciennement connue sous le nom de Hacking Team, développeur du tristement célèbre RCS. Dante est décrit comme un spyware modulaire aux capacités de furtivité et d’adaptation importantes.

Parmi ses caractéristiques techniques relevées par Kaspersky :

• Obfuscation avancée, notamment via VMProtect.
• Contrôles anti‑analyse et détection d’environnements virtuels, incluant l’inspection des journaux d’événements Windows.
• Mécanisme d’autodestruction : si le composant ne reçoit pas de commandes depuis son serveur pendant une période définie, il efface ses traces pour limiter l’analyse.

Kaspersky n’a pas pu récupérer les modules espion spécifiques déployés par Dante, mais des similarités de code avec les versions récentes du RCS confirment une filiation et un développement continu.

Enjeux

Cette affaire illustre plusieurs enjeux : l’utilisation de zero‑day permettant l’intrusion sans interaction supplémentaire de l’utilisateur, la persistance d’une offre commerciale de surveillance issue d’acteurs controversés, et la difficulté pour les chercheurs d’analyser des implants qui intègrent des mécanismes d’autodestruction et d’obfuscation. Elle souligne aussi l’importance de la vigilance contre les courriels ciblés et la nécessité de corriger rapidement des vulnérabilités critiques dans les navigateurs.