Vendor Spyware Italia Dituding Terlibat Eksploitasi Zero-Day Google Chrome dalam Operasi ForumTroll
Milan, Italia — Sebuah kampanye siber bernama Operation ForumTroll, yang terungkap awal tahun ini oleh Kaspersky, diduga menggunakan eksploitasi zero-day Google Chrome (CVE-2025-2783) untuk menginfeksi target di Rusia. Investigasi terbaru kini mengaitkan serangan tersebut dengan vendor spyware asal Italia, Memento Labs, penerus dari perusahaan bersejarah Hacking Team.
🕵️♂️ Eksploitasi Chrome Zero-Day dalam Operasi ForumTroll
Operasi ForumTroll pertama kali diidentifikasi pada Maret 2025, dengan target meliputi media, universitas, lembaga penelitian, instansi pemerintah, dan sektor keuangan Rusia.
Para korban menerima undangan palsu ke acara Primakov Readings forum yang berisi tautan berbahaya — hanya dengan membuka tautan di browser berbasis Chromium, komputer korban langsung terinfeksi.
Eksploitasi ini memanfaatkan CVE-2025-2783, yaitu sandbox escape zero-day di Google Chrome, memungkinkan eksekusi shellcode dari dalam proses browser untuk menanam loader persisten yang kemudian menyuntikkan DLL berbahaya ke sistem korban.
Kaspersky menyebutkan malware utama dalam operasi ini dikenal sebagai LeetAgent, sebuah spyware modular yang dapat menjalankan perintah jarak jauh, mencuri file, melakukan keylogging, dan mencuri data sensitif.
🧩 Jejak Menuju Spyware “Dante” Milik Memento Labs
Dalam analisis lebih mendalam, para peneliti menemukan bahwa LeetAgent sebelumnya telah digunakan dalam serangan pada tahun 2022, yang juga mengantarkan penemuan spyware baru bernama “Dante”, buatan Memento Labs.
Memento Labs sendiri merupakan perusahaan baru hasil akuisisi Hacking Team oleh InTheCyber Group pada tahun 2019.
Sebelumnya, Hacking Team dikenal sebagai penyedia alat pengawasan Remote Control System (RCS) untuk lembaga pemerintah dan intelijen, namun runtuh setelah peretasan besar pada 2015 yang mengungkap keterlibatan mereka dengan rezim otoriter dan eksploitasi zero-day.
Empat tahun kemudian, di ISS World Middle East and Africa Conference, Memento Labs memperkenalkan spyware “Dante,” namun tanpa rincian publik.
Kini, analisis kode oleh Kaspersky menunjukkan kemiripan signifikan antara Dante dan RCS, memperkuat dugaan bahwa Memento Labs adalah penerus langsung teknologi Hacking Team.
🧠 Detail Teknis dan Metode Serangan
- Phishing Email: Serangan dimulai dengan email undangan palsu berisi tautan unik yang hanya aktif untuk target tertentu.
- Eksploitasi CVE-2025-2783: Setelah diklik, browser korban menjalankan shellcode untuk membuka akses sistem.
- Instalasi LeetAgent: Spyware ini menggunakan leetspeak dalam implementasi perintahnya — ciri unik yang menunjukkan desain profesional.
- Penyebaran Dante: Dalam beberapa kasus, LeetAgent digunakan untuk memasang Dante sebagai muatan lanjutan.
Spyware Dante diketahui modular, dengan kemampuannya mengunduh komponen baru dari server command and control (C2). Jika tidak menerima komunikasi dari server penyerang dalam beberapa hari, malware ini akan menghapus dirinya sendiri secara otomatis untuk menghilangkan jejak.
Sayangnya, para peneliti belum berhasil mendapatkan modul aktif Dante, sehingga fitur lengkapnya masih belum terdokumentasi sepenuhnya.
🔒 Patch dan Respon Industri
Google telah menambal CVE-2025-2783 pada Chrome versi 134.0.6998.178 (26 Maret 2025).
Mozilla juga menutup celah serupa pada Firefox versi 136.0.4, tercatat sebagai CVE-2025-2857.
Kaspersky menyatakan bahwa meskipun Dante dikaitkan dengan Memento Labs, pembuat eksploitasi zero-day Chrome bisa saja berasal dari entitas berbeda.
Media BleepingComputer mengonfirmasi bahwa telah menghubungi Memento Labs untuk tanggapan atas temuan ini, namun belum menerima jawaban hingga berita ini diterbitkan.
🧩 Kesimpulan
Kasus ini kembali menyoroti peran vendor spyware komersial dalam rantai eksploitasi zero-day, dan bagaimana teknologi pengawasan yang awalnya dijual untuk kepentingan “keamanan” dapat berubah menjadi senjata siber berbahaya.
Kaspersky memperingatkan bahwa eksploitasi sandbox Chrome seperti ini menunjukkan tingkat kemampuan tinggi, menandakan kolaborasi antara kelompok profesional dan sumber komersial berpengalaman.
Sumber: Kaspersky, BleepingComputer
