Basta un clic: lo zero-day di Chrome che ha aperto la strada allo spyware italiano Dante

Nel descrivere le fondamenta della campagna Operation ForumTroll, Kaspersky spiega che una vulnerabilità zero-day di Chrome (CVE-2025-2783) era utilizzata per distribuire malware di spionaggio.
Michele Nasi
Pubblicato il 28 ott 2025
Basta un clic: lo zero-day di Chrome che ha aperto la strada allo spyware italiano Dante

Un nuovo capitolo si aggiunge alla lunga storia dei software di sorveglianza italiani. Kaspersky punta pubblicamente il dito contro Memento Labs, azienda nata dalle ceneri della controversa Hacking Team di Milano. A marzo 2025, i ricercatori di Kaspersky hanno fatto emergere Operation ForumTroll, una campagna di aggressione che ha preso di mira organizzazioni russe – media, istituti di ricerca, università e enti governativi – attraverso email di phishing che invitavano i destinatari a partecipare a un forum online.

Bastava aprire il link in Google Chrome o in un qualsiasi browser basato su Chromium per compromettere il sistema: l’attacco sfruttava la vulnerabilità CVE-2025-2783, una falla di tipo sandbox escape che consentiva l’esecuzione di codice arbitrario all’interno del processo principale del browser, con la possibilità di aggredire il sistema sottostante.

Alla base della nuova modalità di aggressione c’è quello che Kaspersky ha chiamato Dante, uno spyware commerciale che avrebbe realizzato proprio l’italiana Memento Labs.

La campagna ForumTroll e lo zero day di Chrome

Il bug di sicurezza, definito da Kaspersky come uno dei più curiosi mai scoperti, derivava da una particolare gestione degli pseudo handle di Windows, sfruttata per ottenere un handle reale al thread del processo del browser dotato di privilegi elevati.

In Windows, ogni processo o thread ha un handle, cioè un identificatore che serve al sistema operativo per riferirsi a quella risorsa. Normalmente, un processo non può ottenere un handle a un thread appartenente a un altro processo, a meno che non abbia privilegi particolari.

Per comodità, però, Windows fornisce anche due pseudo handle:

  • -1 (o INVALID_HANDLE_VALUE) che rappresenta il processo corrente,
  • -2 che rappresenta il thread corrente.

Questi non sono handle reali, ma costanti speciali che dicono al kernel “usa il thread o il processo che sta chiamando questa funzione”. Il problema nasce nel modo in cui Chrome gestisce la comunicazione tra i suoi processi sandboxati (renderer) e il processo principale del browser (browser process), che invece ha privilegi più elevati.

Il codice di Chrome controllava solo se l’handle era uguale a -1 (pseudo handle del processo corrente), ma non verificava il caso -2, cioè lo pseudo handle del thread corrente. Risultato: il browser riceveva il valore -2 dal processo sandboxato, lo passava a una funziona “ad hoc” che — vedendo quel valore — restituiva un vero handle al thread del browser process.

In questo modo, l’attaccante evadeva dalla sandbox, passando da un contesto isolato e non privilegiato (il renderer) a uno pienamente privilegiato. La vulnerabilità è stata corretta da Google nella versione 134.0.6998.178 di Chrome e, successivamente, da Mozilla in Firefox 136.0.4 (CVE-2025-2857).

Dall’exploit all’installazione dello spyware

Il vettore iniziale della campagna prevedeva l’uso di uno script che filtrava i visitatori e attivava la fase successiva dell’attacco solo sui bersagli selezionati. Superato questo controllo, il browser era infettato da un loader persistente.

L’operazione culminava con l’installazione di LeetAgent, un malware modulare dalle capacità di spionaggio: esecuzione di comandi, furto di file e documenti, keylogging e iniezione di codice. Kaspersky spiega che in diversi casi LeetAgent fungeva da trampolino per distribuire Dante, uno spyware più sofisticato e di probabile origine commerciale.

Dante: l’eredità di Hacking Team

Come spiegato in precedenza, l’analisi svolta dai tecnici di Kaspersky ha collegato Dante a Memento Labs, società fondata nel 2019 dopo l’acquisizione di Hacking Team da parte del gruppo InTheCyber.

Hacking Team, resasi tristemente nota nel 2015 per il clamoroso leak di oltre 400 GB di dati interni, aveva costruito la sua reputazione (e il suo declino) intorno al software Remote Control System (RCS), venduto a governi di tutto il mondo. Memento Labs, ereditando competenze e codice, avrebbe successivamente sviluppato Dante, presentato per la prima volta nel 2023 all’ISS World MEA di Dubai come successore del vecchio RCS “Da Vinci”.

Kaspersky ha attribuito Dante a Memento Labs dopo aver trovato nel codice riferimenti diretti al nome del malware e una versione “2.0”. Le somiglianze strutturali tra RCS e Dante – inclusi moduli, logiche di orchestrazione e cifratura – confermerebbero la continuità tecnologica tra le due generazioni di spyware.

Struttura e tecniche di evasione

Dante è uno spyware modulare che scarica i propri componenti da server di comando e controllo (C2), criptandoli con AES-256-CBC e legandoli all’hardware della macchina infetta.

Tra le sue funzioni si annoverano comunicazioni HTTPS cifrate, meccanismi di self-protection, auto-cancellazione in assenza di contatto con il server C2 e un complesso sistema di anti-debugging e anti-sandbox basato su VMProtect, controllo dei registri di debug, verifica di eventi di sistema sospetti e timing analysis.

Sono tecniche che non solo complicano l’analisi del malware, ma ne evidenziano la maturità industriale: un prodotto destinato a clienti governativi, capace di eludere strumenti forensi e di analisi comportamentale.

Kaspersky ritiene che l’exploit zero-day e lo spyware Dante provengano da catene di fornitura differenti: il primo potrebbe essere stato acquistato o fornito da un attore terzo, mentre Dante e LeetAgent sarebbero riconducibili proprio all’ecosistema Memento Labs. L’uso congiunto di strumenti di questo livello in un’operazione di spionaggio digitale contro obiettivi strategici sottolinea la persistenza e la professionalità del gruppo ForumTroll APT.

Un’ombra lunga sull’industria dello spyware

La scoperta di Dante riporta alla ribalta il tema della sorveglianza commerciale e della proliferazione di software offensivi sviluppati da aziende europee.

L’Italia torna nuovamente al centro dell’attenzione, confermando l’esistenza di un settore ancora attivo, in gran parte invisibile, ma tecnicamente avanzato. Kaspersky osserva che l’attribuzione  dei vari “pezzi di codice” resta il compito più complesso per gli analisti: mettere insieme exploit, infrastrutture e tracce di codice per ricostruire l’identità di un attore.

Meta e la controllata WhatsApp hanno frequentemente stigmatizzato l’uso di spyware governativi sviluppati da società che si occupano proprio dello sviluppo di strumenti di spionaggio. Questi strumenti software, come evidenziano i tanti incidenti verificatisi in passato, sono sempre più di frequente utilizzati da soggetti terzi per sferrare attacchi e prendere di mira esponenti della società civile, giornalisti, attivisti e soggetti di primo piano.

Ti consigliamo anche

ChatGPT Atlas: il browser che trasforma l’esperienza Web in un super-assistente AI
IA

ChatGPT Atlas: il browser che trasforma l’esperienza Web in un super-assistente AI
Servo: il motore di rendering che potrebbe riscrivere il futuro dei browser Web
Browser

Servo: il motore di rendering che potrebbe riscrivere il futuro dei browser Web
Perché Tor Browser rimuove le funzionalità AI di Firefox
Browser

Perché Tor Browser rimuove le funzionalità AI di Firefox
Chrome aggiunge il sommario pagine con Gemini su Android e iOS
Browser

Chrome aggiunge il sommario pagine con Gemini su Android e iOS
Link copiato negli appunti