今年3月，Google修复了Chrome的零日漏洞CVE-2025-2783（CVSS风险评分为8.3分）。该漏洞存在于Windows版Mojo组件中，可能绕过Chrome的沙箱保护机制，已被用于名为Operation ForumTroll的钓鱼攻击。近期，相关细节被进一步披露。

从事此次攻击行动的黑客组织与意大利间谍软件开发公司Memento Labs有关。该公司前身名为Hacking Team，相关活动可追溯至2022年，主要针对俄罗斯及白俄罗斯人士。一旦收件人点击钓鱼邮件中的链接，并通过Chrome或其他基于Chromium开发的浏览器访问，便会触发CVE-2025-2783漏洞，最终导致设备感染间谍软件Dante。安全研究人员根据代码相似性判断，Operation ForumTroll活动中使用了Memento Labs开发的攻击工具。

只要受害者点击钓鱼邮件中的链接，就会启动感染Dante的流程，将其引导至恶意网站并利用漏洞。攻击者针对目标精心伪造邮件，谎称邀请其参加世界经济与国际关系论坛“普里马科夫读书会”。值得注意的是，攻击者精通俄语，邮件语言完全符合当地书写习惯，无任何语法或用词错误，这是高级持续性威胁（APT）组织的典型特征。

一旦受害者点击恶意链接，便会触发攻击者的身份验证工具。该工具通过WebGPU API计算服务器返回的数据，生成SHA-256哈希值并进行验证，再将结果回传至命令与控制（C2）服务器，以确认为真实用户访问，随后触发CVE-2025-2783漏洞，并通过恶意DLL文件释放间谍软件LeetAgent与Dante。

仅从Dante本身即可推断幕后黑手身份。安全公司发现，Dante与Memento Labs在Hacking Team时期开发的间谍软件RCS存在大量相似之处，因此可合理推断此次攻击行动由Memento Labs主导。

在利用CVE-2025-2783之前，该团伙已多次以高端政经会议为诱饵实施钓鱼攻击并传播恶意程序。此前，Positive Technologies曾披露，去年10月发生的一起钓鱼事件，极有可能就是此次Operation ForumTroll攻击的同一团伙所为。