Un defecto de seguridad ahora parchado en Google Chrome fue explotado como un día cero por un actor de amenaza conocido como TaxOff para desplegar una puerta trasera con codificación Trinper.
El ataque, observado a mediados de marzo de 2025 por tecnologías positivas, implicó el uso de una vulnerabilidad de escape de Sandbox rastreada como CVE-2025-2783 (puntaje CVSS: 8.3).
Google se dirigió a la falla más tarde ese mes después de que Kaspersky reportó la explotación en el desarrollo en una campaña doblada por Forumtroll de Operación dirigida a varias organizaciones rusas.
«El vector de ataque inicial fue un correo electrónico de phishing que contenía un enlace malicioso», dijeron los investigadores de seguridad Stanislav Pyzhov y Vladislav Lunin. «Cuando la víctima hizo clic en el enlace, activó una exploit de un solo clic (CVE-2025-2783), lo que llevó a la instalación de la puerta trasera Trinper empleada por TaxOff».
Se dice que el correo electrónico de phishing se disfrazó de una invitación al Foro de Lecturas de Primakov, el mismo señuelo detallado por Kaspersky, instando a los usuarios a hacer clic en un enlace que llevó a un sitio web falso que alojaba el exploit.
Taxoff es el nombre asignado a un grupo de piratería que fue documentado por primera vez por la compañía de seguridad cibernética rusa a fines de noviembre de 2024 como apuntando a las agencias gubernamentales nacionales que utilizan correos electrónicos de phishing legales y financieros para entregar Trinper.
Escrito en C ++, la puerta trasera utiliza múltiples lecturas para capturar la información del host de las víctimas, registrar las teclas de teclas, recopilar archivos que coinciden con extensiones específicas (.doc, .xls, .ppt, .rtf y .pdf), y establecer una conexión con un servidor remoto para recibir comandos y exfiltrar los resultados de la ejecución.
Las instrucciones enviadas desde el servidor de comando y control (C2) extienden la funcionalidad del implante, lo que le permite leer/escribir archivos, ejecutar comandos usando cmd.exe, iniciar un shell inverso, cambiar directorio y apagar a sí mismo.
«Multithreading proporciona un alto grado de paralelismo para ocultar la puerta trasera mientras conserva la capacidad de recopilar y exfiltrar datos, instalar módulos adicionales y mantener las comunicaciones con C2», señaló Lunin en ese momento.
Positive Technologies dijo que su investigación sobre la intrusión de mediados de marzo de 2025 condujo al descubrimiento de otro ataque que data de octubre de 2024 que también comenzó con un correo electrónico de phishing, que pretendía ser una invitación a una conferencia internacional llamada «Seguridad del estado de la Unión en el mundo moderno».
El mensaje de correo electrónico también contenía un enlace, que descargaba un archivo de archivo zip que contenía un atajo de Windows que, a su vez, lanzó un comando PowerShell para servir en última instancia un documento de señuelo y al mismo tiempo dejar un cargador responsable de lanzar la puerta trasera Trinper por medio del cargador de donas de código abierto. Se ha encontrado que una variación del ataque cambia el cargador de donas a favor de Cobalt Strike.
Esta cadena de ataque, según la compañía, comparte varias similitudes tácticas con la de otro grupo de piratería rastreado como Team46, lo que aumenta la posibilidad de que los dos grupos de actividad de amenazas sean lo mismo.
Curiosamente, otro conjunto de correos electrónicos de phishing enviados por los atacantes del equipo46 un mes antes de que se afirmara ser del operador de telecomunicaciones Rostelecom, con sede en Moscú, alertando a los destinatarios de supuestas interrupciones de mantenimiento el año pasado.
Estos correos electrónicos incluyeron un archivo ZIP, que incrustó un atajo que lanzó un comando PowerShell para desplegar un cargador que se había utilizado previamente para entregar otra puerta trasera en un ataque dirigido a una compañía rusa no identificada en la industria de carga ferroviaria.
La intrusión de marzo de 2024, detallada por Doctor Web, es notable por el hecho de que una de las cargas armadas armó una vulnerabilidad de secuestro de DLL en el navegador Yandex (CVE-2024-6473, puntaje CVSS: 8.4) como un día cero para descargar y ejecutar malware no especificado. Se resolvió en la versión 24.7.1.380 lanzado en septiembre de 2024.
«Este grupo aprovecha las exploits de día cero, lo que le permite penetrar en infraestructuras seguras de manera más efectiva», dijeron los investigadores. «El grupo también crea y utiliza malware sofisticado, lo que implica que tiene una estrategia a largo plazo y tiene la intención de mantener la persistencia en los sistemas comprometidos durante un período prolongado».