Falha zero-day no Google Chrome é explorada por grupo hacker TaxOff para implantar backdoor Trinper

Uma grave vulnerabilidade de segurança no navegador Google Chrome, identificada como CVE-2025-2783, foi explorada ativamente por um grupo hacker conhecido como TaxOff para instalar um backdoor chamado Trinper em sistemas de organizações russas. A falha, que já foi corrigida, permitia a evasão da sandbox do navegador e possuía uma pontuação CVSS de 8.3.

A campanha maliciosa foi detectada em meados de março de 2025 pela empresa Positive Technologies e recebeu o nome de Operação ForumTroll. Segundo a Kaspersky, o vetor inicial do ataque foi um e-mail de phishing disfarçado de convite para o fórum “Primakov Readings”, contendo um link malicioso que explorava a vulnerabilidade ao ser clicado.

Ao explorar o clique da vítima, o exploit executava o código malicioso diretamente, ativando o backdoor Trinper. Desenvolvido em C++, o Trinper emprega multithreading para se manter oculto enquanto coleta informações do sistema, registra pressionamentos de teclas e exfiltra arquivos com extensões específicas (.doc, .xls, .ppt, .rtf e .pdf).

O malware se conecta a um servidor de comando e controle (C2), a partir do qual pode receber instruções para ler ou gravar arquivos, executar comandos via cmd.exe, abrir shells reversas, alterar diretórios e até se auto-encerrar. Essa estrutura modular permite ao grupo manter presença persistente nas máquinas comprometidas e ampliar suas capacidades de espionagem.

As investigações revelaram que o ataque de março não foi isolado. Um incidente semelhante em outubro de 2024 usou um convite falso para uma conferência sobre segurança internacional. O e-mail levava a um arquivo ZIP contendo um atalho que executava comandos em PowerShell para abrir um documento isca e, simultaneamente, instalar o Trinper utilizando o loader Donut. Em variações posteriores, o Donut foi substituído pela ferramenta de pós-exploração Cobalt Strike.

A Positive Technologies observou semelhanças entre essas operações e as de outro grupo hacker conhecido como Team46, levantando a hipótese de que ambos possam estar conectados ou até ser o mesmo grupo com diferentes nomes.

Em outro ataque atribuído ao Team46, e-mails se passavam por comunicações da operadora russa Rostelecom e alertavam para supostas manutenções na rede. Esses e-mails também carregavam um arquivo ZIP com um atalho capaz de executar comandos PowerShell para instalar um loader usado em ataques anteriores.

Um caso notável, ocorrido em março de 2024 e relatado pela Doctor Web, explorava uma vulnerabilidade de DLL hijacking no navegador Yandex (CVE-2024-6473), também como zero-day, para instalar malware não especificado. Segundo os especialistas, o uso sistemático de falhas zero-day, ferramentas sofisticadas e técnicas de persistência demonstra que o grupo tem estrutura avançada, objetivos de longo prazo e acesso a recursos que geralmente são associados a operações de Estado-nação.

Via - THN