Uma falha crítica de dia zero (Zero-Day) no Google Chrome foi descoberta sendo ativamente explorada por cibercriminosos em ataques altamente direcionados. Rastreada como CVE-2025-2783, a vulnerabilidade permitia que invasores escapassem das proteções de sandbox do navegador para instalar um spyware sofisticado chamado LeetAgent.
De acordo com um relatório recente da Kaspersky, o malware foi vinculado à Memento Labs, uma empresa italiana considerada a sucessora direta da infame HackingTeam — conhecida por vender ferramentas de vigilância a governos e agências de inteligência em todo o mundo.
Embora a falha já tenha sido corrigida pelo Google em uma atualização recente, o episódio serve como alerta para o risco persistente representado pelo mercado de spyware comercial e pela exploração de zero-days em softwares amplamente utilizados como o Chrome.
O que é a falha CVE-2025-2783 no Google Chrome?
A vulnerabilidade CVE-2025-2783 foi identificada como um escape de sandbox (sandbox escape) — um tipo de falha que permite a execução de código fora do ambiente isolado do navegador.
Em termos simples, a sandbox do Google Chrome funciona como uma “camada de contenção” que impede que páginas da web ou extensões acessem o sistema operacional do usuário. Quando um invasor consegue escapar dessa barreira, ele pode executar comandos arbitrários no computador, instalar programas e roubar informações sensíveis.
Segundo o Google, a brecha foi explorada “in the wild”, ou seja, antes de ser corrigida, o que caracteriza um verdadeiro zero-day.
A operação ForumTroll (ou TaxOff)
A exploração fazia parte de uma campanha identificada como Operação ForumTroll, também conhecida pelo codinome TaxOff.
O ataque começava com e-mails de spear-phishing cuidadosamente elaborados, enviados a alvos específicos, como jornalistas, ativistas e pesquisadores de segurança.
Esses e-mails continham links para um fórum falso, criado para enganar as vítimas e levá-las a clicar em uma página comprometida. Ao visitar o site, o exploit do Chrome era acionado silenciosamente, explorando o CVE-2025-2783 para baixar um loader malicioso. Esse loader, por sua vez, instalava o spyware LeetAgent, que se tornava o principal vetor de espionagem.
LeetAgent: O spyware no centro da operação
O LeetAgent é o payload final da campanha ForumTroll, projetado para oferecer controle total sobre o sistema da vítima.
Após o clique no link de phishing e a exploração da falha no Chrome, o loader implantado estabelecia uma conexão com um servidor remoto controlado pelos atacantes, de onde o LeetAgent era baixado e executado.
Capacidades técnicas do malware
O relatório técnico da Kaspersky descreve o LeetAgent como um spyware modular, com funções adaptáveis conforme o tipo de alvo. Entre suas capacidades confirmadas, destacam-se:
- Executar comandos remotos através do cmd.exe;
- Ler e escrever arquivos no sistema da vítima;
- Injetar shellcode (código malicioso) em outros processos;
- Coletar documentos confidenciais, incluindo arquivos .doc, .pdf e .xls;
- Atuar como um keylogger, registrando tudo o que o usuário digita;
- Utilizar técnicas avançadas de persistência e evasão de antivírus, ocultando sua presença.
Essas características fazem do LeetAgent um spyware extremamente perigoso, capaz de transformar uma simples visita a um site malicioso em uma infecção completa do sistema.
Memento Labs: A controversa empresa por trás do spyware
A investigação aponta que o LeetAgent foi desenvolvido pela Memento Labs, uma empresa de segurança cibernética sediada em Milão, Itália, que opera sob uma fachada de “consultoria de inteligência digital”.
A infame conexão com a HackingTeam
A Memento Labs é o herdeiro direto da HackingTeam, uma companhia que ganhou notoriedade mundial por fornecer ferramentas de vigilância eletrônica a governos e forças de segurança.
A empresa surgiu da fusão entre a InTheCyber Group e a própria HackingTeam, após o escândalo de 2015 que praticamente destruiu a reputação da organização original. Naquele ano, a HackingTeam foi hackeada e teve mais de 400 GB de dados internos vazados, revelando contratos com regimes autoritários e ferramentas avançadas como o bootkit MosaicRegressor.
A nova encarnação, Memento Labs, procurou reabilitar a imagem da marca, mas continua atuando em áreas de “monitoramento ofensivo” e “investigações digitais”, o que inclui o desenvolvimento de spyware sob demanda.
A ligação com o spyware Dante
De acordo com análises da Kaspersky e da Positive Technologies, o LeetAgent serve como estágio inicial para implantar outro malware ainda mais sofisticado: o Dante.
O Dante é considerado o sucessor direto do RCS (Remote Control Systems), o spyware emblemático da antiga HackingTeam. Ele é usado para tomar controle completo de sistemas operacionais, acessar comunicações criptografadas e executar técnicas complexas de anti-análise e ofuscação, dificultando sua detecção por especialistas de segurança.
Essa cadeia de ataque — LeetAgent como loader e Dante como estágio avançado — mostra que os desenvolvedores por trás da antiga HackingTeam seguem ativos e tecnologicamente avançados, mesmo após uma década de exposição pública.
Conclusão: O mercado de spyware comercial segue ativo
A descoberta do CVE-2025-2783 e da sua exploração ativa por meio do LeetAgent reforça uma tendência preocupante: a persistência do mercado de spyware comercial, que continua sendo utilizado em campanhas de vigilância direcionadas.
O episódio combina dois fatores de alto risco — a exploração de um zero-day no navegador mais popular do mundo e o envolvimento de uma empresa com histórico controverso, como a Memento Labs.
A boa notícia é que o Google já lançou uma atualização de segurança que corrige o CVE-2025-2783, bloqueando o vetor de ataque usado na Operação ForumTroll.
Para os usuários, a mensagem é clara: mantenha o Google Chrome sempre atualizado. Além disso, evite clicar em links suspeitos recebidos por e-mail e mantenha ferramentas de proteção e verificação em tempo real ativas no sistema.
A exploração desta falha mostra que, mesmo em 2025, a espionagem digital segue evoluindo, e a atualização constante permanece sendo a defesa mais eficaz contra ataques invisíveis que exploram vulnerabilidades desconhecidas.
