Google ha rilasciato delle correzioni straordinarie per affrontare una grave vulnerabilità di sicurezza nel suo browser Chrome per Windows, sfruttata in attacchi diretti a organizzazioni in Russia. La vulnerabilità, identificata come CVE-2025-2783 con un punteggio CVSS di 8,3, è stata descritta come un caso di "gestione errata in circostanze non specificate in Mojo su Windows". Mojo si riferisce a una raccolta di librerie runtime che forniscono un meccanismo indipendente dalla piattaforma per la comunicazione inter-processo (IPC).

Come di consueto, Google non ha rivelato ulteriori dettagli tecnici sulla natura degli attacchi, sull'identità degli attori della minaccia e su chi potrebbe essere stato preso di mira. La vulnerabilità è stata risolta nella versione di Chrome 134.0.6998.177/.178 per Windows. Google ha riconosciuto l'esistenza di rapporti che indicano che un exploit per CVE-2025-2783 è presente in natura.

Va notato che CVE-2025-2783 è il primo zero-day di Chrome sfruttato attivamente dall'inizio dell'anno. I ricercatori di Kaspersky, Boris Larin e Igor Kuznetsov, sono stati accreditati per la scoperta e la segnalazione della carenza il 20 marzo 2025. Il vendor di cybersecurity russo, in un proprio bollettino, ha caratterizzato lo sfruttamento zero-day di CVE-2025-2783 come un attacco mirato tecnicamente sofisticato, indicativo di una minaccia persistente avanzata (APT). È stato tracciato sotto il nome di Operation ForumTroll.

"In tutti i casi, l'infezione è avvenuta immediatamente dopo che la vittima ha cliccato su un link in un'email di phishing, e il sito web degli attaccanti è stato aperto usando il browser Google Chrome", hanno detto i ricercatori. "Non è stata richiesta alcuna ulteriore azione per essere infettati." L'essenza della vulnerabilità risiede in un errore logico all'incrocio tra Chrome e il sistema operativo Windows che consente di bypassare la protezione sandbox del browser.

I link di breve durata sono stati personalizzati per gli obiettivi, con lo scopo finale di spionaggio della campagna. Le email di phishing, ha detto Kaspersky, contenevano inviti presumibilmente provenienti dagli organizzatori di un legittimo forum scientifico ed esperto, le Primakov Readings.

Le email di phishing hanno preso di mira media, istituzioni educative e organizzazioni governative in Russia. Inoltre, CVE-2025-2783 è progettato per essere eseguito in combinazione con un ulteriore exploit che facilita l'esecuzione di codice remoto. Kaspersky ha dichiarato di non essere stata in grado di ottenere il secondo exploit. "Tutti gli artefatti dell'attacco analizzati finora indicano un'elevata sofisticazione degli attaccanti, permettendoci di concludere con fiducia che un gruppo APT sponsorizzato dallo stato è dietro questo attacco", hanno detto i ricercatori.

Alla luce dello sfruttamento attivo, anche gli utenti dei browser basati su Chromium come Microsoft Edge, Brave, Opera e Vivaldi sono invitati a applicare le correzioni non appena diventano disponibili.