Publié le 28 octobre 2025. Une vulnérabilité critique de Google Chrome, exploitée avant d’être corrigée, a servi de porte d’entrée à des cybercriminels pour déployer un logiciel espion commercial baptisé LeetAgent, ciblant notamment des organisations en Russie et en Biélorussie.
Une campagne de phishing sophistiquée, nommée Opération ForumTroll, a utilisé la faille zero-day CVE-2025-2783 dans Google Chrome pour diffuser des logiciels malveillants, révèlent des chercheurs de Kaspersky. Cette opération, qui s’est déroulée en mars 2025, visait des institutions stratégiques russes et biélorusses.
L’analyse approfondie de cette campagne par les experts de Kaspersky a permis de découvrir l’implication d’un autre logiciel espion, Dante, développé par la société italienne Memento Labs (anciennement Hacking Team). Ce logiciel de surveillance plus avancé a été observé dans d’autres intrusions attribuées au même groupe d’attaquants.
Une campagne orchestrée via de fausses invitations
L’Opération ForumTroll a été nommée ainsi en raison de l’utilisation de fausses invitations au forum « Lectures de Primakov » pour tromper ses victimes. Les cibles comprenaient des médias, des universités, des instituts de recherche, des organismes gouvernementaux et des institutions financières en Russie et en Biélorussie.
Ces invitations malveillantes contenaient un lien vers un site web compromis. Un script d’analyse vérifiait ensuite s’il fallait déclencher l’attaque, proposant une exécution de code à distance (RCE) et une évasion de la « sandbox » du navigateur. Si ces conditions étaient réunies, un chargeur de malware installait le logiciel espion LeetAgent.
Si l’exploit RCE spécifique à Chrome n’a pas pu être entièrement identifié, les chercheurs ont pu décortiquer l’exploit d’évasion de la sandbox, qui tirait parti de la vulnérabilité CVE-2025-2783. Celle-ci reposait sur une faille logique subtile du système d’exploitation Windows, permettant aux attaquants de contourner les protections de Chrome sans actions évidentes.
Les cybercriminels ont manipulé le mécanisme de communication inter-processus (IPC) de Chrome. Ils ont réussi à transformer un « pseudo-handle » Windows (une constante spéciale interprétée par le noyau) en un handle exploitable au sein du processus du navigateur, leur permettant ainsi d’exécuter du code avec les privilèges de ce dernier.
L’identité exacte du groupe derrière l’Opération ForumTroll reste floue. Bien que les emails de phishing soient rédigés en russe, certaines erreurs stylistiques suggèrent que les auteurs ne seraient pas des locuteurs natifs.
LeetAgent et Dante : des outils de surveillance aux capacités étendues
LeetAgent est un logiciel espion commercial capable de recevoir une large gamme de commandes à distance. Il peut exécuter des commandes arbitraires, lancer et arrêter des processus, injecter du code, lire et écrire des fichiers, enregistrer les frappes clavier et voler des informations en arrière-plan.
La présence de nombreux paramètres d’obscurcissement du trafic dans sa configuration confirme son caractère commercial. Les chercheurs ont également remarqué que LeetAgent était parfois utilisé pour déployer un autre logiciel, plus sophistiqué : Dante.
Dante, développé par Memento Labs, utilise des techniques avancées pour échapper à la détection. Il emploie VMProtect pour masquer son code, chiffrer ses chaînes de caractères et empêcher le débogage. Il est également capable de détecter les environnements virtuels, les machines virtuelles et les débogueurs.
Pour passer inaperçu, Dante appelle les API Windows de manière indirecte et dissimule son composant principal (« orchestrateur ») sous l’apparence d’un fichier de police. Il charge des modules supplémentaires chiffrés et s’auto-supprime s’il ne reçoit plus de commandes pendant une période définie.
L’analyse d’un échantillon de Dante a révélé des similitudes de code avec le logiciel espion RCS de Hacking Team, renforçant l’attribution à Memento Labs.
« Jusqu’à présent, les capacités de ce malware étaient peu connues et son utilisation dans des attaques n’avait pas été découverte », ont souligné les chercheurs de Kaspersky.
Bien que le groupe ForumTroll n’ait pas utilisé Dante dans la campagne spécifique Opération ForumTroll, son déploiement a été observé dans d’autres attaques liées à ce collectif. Les chercheurs ont identifié des correspondances notables, notamment des chemins de fichiers système similaires, un mécanisme de persistance identique, et des données dissimulées dans des fichiers de polices.
« Plus important encore, nous avons trouvé un code similaire partagé par l’exploit, le chargeur et Dante. Pris ensemble, ces résultats nous permettent de conclure que la campagne Operation ForumTroll a également été menée à l’aide du même ensemble d’outils fourni avec le logiciel espion Dante », ont-ils ajouté.
Kaspersky a rendu publics les indicateurs de compromission permettant de détecter la présence de LeetAgent et Dante.