Một lỗ hổng zero-day trên Google Chrome (CVE-2025-2783, CVSS 8.3) đã bị nhóm hacker TaxOff khai thác trong chiến dịch tấn công nhắm vào các tổ chức tại Nga. Lỗ hổng cho phép thoát sandbox và thực thi mã độc chỉ với một cú nhấp chuột từ email phishing.
Mục tiêu của cuộc tấn công là cài mã độc Trinper – một backdoor viết bằng C++, có khả năng ghi phím, đánh cắp tài liệu (.doc, .pdf…), thực thi lệnh từ xa, và duy trì liên lạc với máy chủ điều khiển (C2 server).
Vụ việc được phát hiện vào tháng 3/2025 bởi Positive Technologies. Google đã phát hành bản vá ngay sau đó.
Trinper hoạt động ra sao:
- Ghi lại thao tác bàn phím (keylogging)
- Thu thập tài liệu (.doc, .pdf, .xls…)
- Giao tiếp với máy chủ điều khiển (C2 server)
- Thực thi lệnh, mở reverse shell, tải thêm mã độc
Vụ việc được phát hiện vào tháng 3/2025 bởi Positive Technologies. Google đã phát hành bản vá ngay sau đó.
Chiến dịch này có nhiều điểm tương đồng với nhóm Team46, cho thấy khả năng hai nhóm là một. Trinper cũng từng được phát tán qua công cụ như Donut và Cobalt Strike trong các cuộc tấn công trước đó.
