Sin realizar operaciones evidentes, el exploit no requería más que un clic en un enlace malicioso para comprometer el sistema del usuario
Kaspersky ha identificado y ayudado a corregir una sofisticada vulnerabilidad de Día Cero en Google Chrome (CVE-2025-2783) que permitía a los atacantes eludir el sistema de protección sandbox del navegador. El exploit, descubierto por el equipo de Investigación y Análisis Global de Kaspersky (GReAT), no requería ninguna interacción del usuario más allá de hacer clic en un enlace malicioso y presentaba un nivel de complejidad técnica excepcional. Los investigadores de Kaspersky han sido reconocidos por Google por el descubrimiento y la notificación de esta vulnerabilidad.
A mediados de marzo de 2025, Kaspersky detectó una oleada de infecciones desencadenadas cuando los usuarios hacían clic en enlaces de phishing personalizados enviados por correo electrónico. Tras hacer clic, no se requería ninguna acción adicional para comprometer sus sistemas. Una vez que el análisis de Kaspersky confirmó que el exploit aprovechaba una vulnerabilidad desconocida en la última versión de Google Chrome, la compañía alertó rápidamente al equipo de seguridad de Google. Se implementó un parche de seguridad este 25 de marzo de 2025.
Los investigadores de Kaspersky nombraron la campaña como “Operación ForumTroll”, ya que los atacantes enviaban correos electrónicos de phishing personalizados invitando a los destinatarios al foro “Primakov Readings”. Estos señuelos estaban dirigidos a medios de comunicación, instituciones educativas y organizaciones gubernamentales en Rusia. Los enlaces maliciosos tenían una vida útil extremadamente corta para evadir la detección y, en la mayoría de los casos, redirigían al sitio web legítimo de “Primakov Readings” una vez que el exploit era eliminado.
La vulnerabilidad de Día Cero en Chrome era sólo una parte de una cadena que incluía al menos dos exploits: uno de ejecución remota de código (RCE) aún no obtenido, que aparentemente iniciaba el ataque, mientras que la evasión de la sandbox descubierta por Kaspersky constituía la segunda fase. El análisis de la funcionalidad del malware sugiere que la operación estaba diseñada principalmente para espionaje. Todas las pruebas apuntan a la participación de un grupo de Amenaza Persistente Avanzada (APT).
“Esta vulnerabilidad destaca entre las decenas de exploits de Día Cero que hemos descubierto a lo largo de los años”, señaló Fabio Assolini, director del Equipo Global de Investigación y Análisis (GReAT) para América Latina en Kaspersky. “El exploit eludía la protección de la sandbox de Chrome sin realizar operaciones maliciosas evidentes, como si la barrera de seguridad simplemente no existiera. La sofisticación técnica mostrada aquí indica que fue desarrollado por actores altamente capacitados con recursos significativos. Recomendamos encarecidamente a todos los usuarios actualizar Google Chrome y cualquier navegador basado en Chromium a la última versión para protegerse contra esta vulnerabilidad.”
Google ha reconocido a Kaspersky por descubrir y reportar esta vulnerabilidad, lo que refleja el compromiso continuo de la compañía con la colaboración en la comunidad global de ciberseguridad y la protección de los usuarios.
Kaspersky sigue investigando la Operación ForumTroll. Se publicarán más detalles, incluido un análisis técnico de los exploits y la carga maliciosa, en un próximo informe una vez que la seguridad de los usuarios de Google Chrome esté garantizada. Mientras tanto, todos los productos de Kaspersky detectan y protegen contra esta cadena de exploits y el malware asociado, asegurando que los usuarios estén a salvo de la amenaza.
Kaspersky Next EDR Expert, un componente clave de la plataforma integral Kaspersky Next XDR (Extended Detection and Response), desempeñó un papel crucial en la detección de una ola de infecciones causadas por un malware altamente sofisticado y hasta ahora desconocido. Nuestras tecnologías de detección y protección contra exploits identificaron rápidamente un exploit de Día Cero antes de que se hiciera público, lo que nos permitió analizar a fondo su comportamiento e impacto.
Este hallazgo sigue a la identificación previa de otro Zero-Day en Chrome (CVE-2024-4947) por parte del equipo de Kaspersky GReAT, el cual fue explotado el año pasado por el grupo APT Lazarus en una campaña de robo de criptomonedas. En ese caso, los investigadores de Kaspersky descubrieron un error de confusión de tipos en el motor JavaScript V8 de Google, que permitió a los atacantes eludir las medidas de seguridad a través de un sitio web falso de criptojuegos.
Para protegerse contra ataques sofisticados como estos, los expertos en seguridad de Kaspersky recomiendan:
Mantener el software actualizado: Instala regularmente parches en tu sistema operativo y navegadores, especialmente Google Chrome, para evitar que los atacantes exploten vulnerabilidades recién descubiertas.
Adoptar un enfoque de seguridad en múltiples capas: Además de la protección para endpoints, considera soluciones como Kaspersky Next XDR Expert que utilizan IA y aprendizaje automático para correlacionar datos de diversas fuentes y automatizar la detección y respuesta ante amenazas avanzadas y campañas APT.
Aprovechar servicios de inteligencia de amenazas: Información actualizada y contextual, como Kaspersky Threat Intelligence, te ayuda a estar al tanto de exploits de Día Cero emergentes y de las últimas tácticas utilizadas por los atacantes.
Con información de Kaspersky
Minuto a minuto
