Siber Güvenlik, Tehdit Analizi

Chrome Zero-Day Güvenlik Açığı Memento Labs’in LeetAgent Casus Yazılımının Yayılmasında Kullanıldı

Ekim 29, 2025Ekim 29, 2025Tarafından Cybernews.TR
51
Chrome Zero-Day Güvenlik Açığı Memento Labs’in LeetAgent Casus Yazılımının Yayılmasında Kullanıldı

Kaspersky’nin Mart 2025’te ortaya koyduğu yeni araştırmaya göre, CVE-2025-2783 kodlu ve 8.3 CVSS puanına sahip Chrome zero-day açığı, Rusya’daki hedeflere yönelik Operation ForumTroll adlı gelişmiş bir siber casusluk kampanyasında aktif olarak kullanıldı. Bu istismar, sandbox kaçışı sağlayarak saldırganların Memento Labs tarafından geliştirilen LeetAgent adlı sofistike casus yazılımı yüklemesine imkan tanıdı.

Operation ForumTroll ve LeetAgent’ın Teknik Detayları

Kampanya, hedeflere Primakov Readings forumuna davet eden kişiselleştirilmiş oltalama e-postalarıyla kısa ömürlü bağlantılar gönderilmesini içeriyordu. Kullanıcıların Chromium tabanlı tarayıcıları üzerinden bu bağlantılara tıklaması, CVE-2025-2783’ün istismar edilmesiyle uzaktan kod yürütülmesini tetikliyordu. LeetAgent, HTTPS üzerinden komut ve kontrol (C2) sunucusuna bağlanarak cmd.exe komut çalıştırma, işlem yürütme, dosya okuma/yazma, shellcode enjekte etme ve anahtar kaydedici gibi gelişmiş yetenekler sergiliyor. Ayrıca, *.doc, *.xls, *.ppt, *.rtf, *.pdf gibi yaygın ofis dosyalarını hedefleyen dosya hırsızlığı modülleri içeriyor.

Memento Labs ve İtalyan Casus Yazılım Ekosistemi

Memento Labs, 2019’da InTheCyber Group ve HackingTeam’in birleşmesiyle kuruldu. HackingTeam’in geçmişinde hükümetlere yönelik gözetleme yazılımları bulunuyor. 2015’te yaşanan hack olayı, MosaicRegressor UEFI bootkit’in temelini oluşturan VectorEDK geliştirme kitinin sızdırılmasıyla dikkat çekti. Memento Labs CEO’su Paolo Lezzi, TechCrunch’a yaptığı açıklamada, Kaspersky’nin keşfettiği LeetAgent casus yazılımının şirketlerine ait olduğunu doğruladı ve Dante casus yazılımının eski bir Windows sürümünü kullanan bir devlet müşterisinin sorumlu olduğunu belirtti.

İstismar Teknikleri ve İleri Düzey Kötü Amaçlı Yazılım Analizi

LeetAgent’ın sandbox kaçışı için kullandığı CVE-2025-2783 istismarı, modern MCP istemcileri ve Pydantic AI tabanlı analiz araçları tarafından da inceleniyor. Ayrıca, bu kampanyada kullanılan yükleyiciler, konteyner ortamlarında rastgele SSH portları açarak tespit edilme riskini azaltıyor. LeetAgent’ın kod yapısı ve işlevselliği, AsyncRAT gibi gelişmiş uzaktan erişim araçlarıyla benzerlik gösteriyor. Kaspersky’nin araştırmasına göre, Operation ForumTroll’ün arkasındaki aktörler, Positive Technologies’in Haziran 2025 raporunda bahsedilen TaxOff/Team 46 ve BI.ZONE’un Prosperous Werewolf isimli gruplarıyla bağlantılı. Bu grupların kullandığı Dante casus yazılımı ise anti-debugging, şifrelenmiş kaynak kodu ve Windows Olay Günlüğü sorgulamalarıyla analizden kaçınıyor.

Sonuç ve Siber Güvenlik Perspektifi

Bu gelişmeler, gözetim teknolojilerinin devlet destekli aktörler tarafından nasıl suistimal edildiğini ve sofistike saldırı tekniklerinin giderek arttığını gösteriyor. Memento Labs’ın mobil platformlara odaklanması ve Windows casus yazılımını bırakma çağrısı, siber güvenlik ekosisteminde önemli bir dönüşüm sinyali olarak değerlendirilebilir. Siber güvenlik profesyonelleri için, sandbox kaçışı ve C2 iletişimi gibi kritik noktaların takibi, bu tür gelişmiş tehditlere karşı savunma stratejilerinin temelini oluşturuyor.

, , , , , , ,