El exploit, descubierto por el equipo de Investigación y Análisis Global de Kaspersky (GReAT), no requería ninguna interacción del usuario más allá de hacer clic en un enlace malicioso y presentaba un nivel de complejidad técnica excepcional. Los investigadores de Kaspersky han sido reconocidos por Google por el descubrimiento y la notificación de esta vulnerabilidad.
A mediados de marzo de 2025, Kaspersky detectó una oleada de infecciones desencadenadas cuando los usuarios hacían clic en enlaces de phishing personalizados enviados por correo electrónico. Tras hacer clic, no se requería ninguna acción adicional para comprometer sus sistemas. Una vez que el análisis de Kaspersky confirmó que el exploit aprovechaba una vulnerabilidad desconocida en la última versión de Google Chrome, la compañía alertó rápidamente al equipo de seguridad de Google. Se implementó un parche de seguridad este 25 de marzo de 2025.
Los investigadores de Kaspersky nombraron la campaña como “Operación ForumTroll”, ya que los atacantes enviaban correos electrónicos de phishing personalizados invitando a los destinatarios al foro “Primakov Readings”. Estos señuelos estaban dirigidos a medios de comunicación, instituciones educativas y organizaciones gubernamentales en Rusia. Los enlaces maliciosos tenían una vida útil extremadamente corta para evadir la detección y, en la mayoría de los casos, redirigían al sitio web legítimo de “Primakov Readings” una vez que el exploit era eliminado.
La vulnerabilidad de Día Cero en Chrome era sólo una parte de una cadena que incluía al menos dos exploits: uno de ejecución remota de código (RCE) aún no obtenido, que aparentemente iniciaba el ataque, mientras que la evasión de la sandbox descubierta por Kaspersky constituía la segunda fase. El análisis de la funcionalidad del malware sugiere que la operación estaba diseñada principalmente para espionaje. Todas las pruebas apuntan a la participación de un grupo de Amenaza Persistente Avanzada (APT).
Se sigue investigando la Operación ForumTroll. Se publicarán más detalles, incluido un análisis técnico de los exploits y la carga maliciosa, en un próximo informe una vez que la seguridad de los usuarios de Google Chrome esté garantizada.
Este hallazgo sigue a la identificación previa de otro Zero-Day en Chrome (CVE-2024-4947), el cual fue explotado el año pasado por el grupo APT Lazarus en una campaña de robo de criptomonedas. En ese caso, se descubrió un error de confusión de tipos en el motor JavaScript V8 de Google, que permitió a los atacantes eludir las medidas de seguridad a través de un sitio web falso de criptojuegos.
