Une faille de sécurité zero-day dans Google Chrome, référencée comme CVE-2025-2783, a récemment été exploitée par un groupe nommé TaxOff, dans une campagne de cyberattaque visant des organisations russes. Cette vulnérabilité, désormais corrigée, permettait une évasion du bac à sable depuis le navigateur pour déposer une porte dérobée sophistiquée appelée Trinper. Voici ce que vous devez savoir sur cette menace et les tactiques utilisées par les pirates pour compromettre les systèmes cibles.
TaxOff exploite une faille zero-day dans Chrome
Une campagne d’attaque détectée en mars 2025
Les chercheurs en cybersécurité de Positive Technologies ont identifié en mars 2025 une attaque ciblée exploitant la faille CVE-2025-2783, évaluée avec un score CVSS de 8.3. Cette campagne, baptisée Operation ForumTroll et documentée également par Kaspersky, a ciblé divers organismes russes via une campagne de phishing.
Un email d’invitation piégé comme vecteur initial
Les cybercriminels ont utilisé un Email de phishing se faisant passer pour une invitation au forum Primakov Readings. Ce message contenait un lien renvoyant vers un site frauduleux hébergeant l’exploit. En un seul clic, les victimes voyaient leur navigateur compromis et la porte dérobée Trinper installée.
Trinper, une porte dérobée sophistiquée et furtive
Multithreading et surveillance avancée
Écrit en C++, le malware Trinper intègre une architecture multithread qui lui permet d’exécuter simultanément plusieurs tâches malveillantes. Il peut enregistrer les frappes clavier, collecter des fichiers spécifiques (.doc, .xls, .pdf, etc.) et transmettre ces données vers un serveur de command and control (C2). Ces fonctionnalités permettent un contrôle total de la machine infectée par les attaquants, tout en opérant discrètement.
Un exemple concret d’apprentissage dans notre livre pour hacker
Pour les professionnels qui souhaitent comprendre le fonctionnement de telles attaques et développer leurs compétences en sécurité informatique, notre livre pour hacker offre une immersion complète dans les méthodes utilisées pour apprendre à hacker de manière éthique. De l’analyse de malware au reverse engineering, ce guide technique explique en détail comment les backdoors comme Trinper opèrent.
Une campagne liée à d’autres attaques par hameçonnage ciblé
Des similitudes tactiques avec une attaque d’octobre 2024
L’enquête de Positive Technologies a également permis de relier cette opération à une attaque menée en octobre 2024. Là encore, tout a commencé par un email de phishing, cette fois prétendant inviter à une conférence intitulée “Security of the Union State in the modern world”. Ce message contenait une archive ZIP contenant un raccourci Windows, qui activait une commande PowerShell pour déployer Trinper via le Donut loader, ou dans d’autres cas via Cobalt Strike, un outil fréquemment utilisé pour le post-exploitation.
Des indices pointant vers le groupe Team46
Certains éléments tactiques de cette chaîne d’attaque rappellent ceux du groupe de menace Team46, laissant penser que ces deux entités pourraient être liées. Ce groupe avait déjà été repéré un mois plus tôt, utilisant de faux emails de Rostelecom pour déployer un loader ciblant une entreprise russe active dans le transport ferroviaire. Dans cette campagne, une faille zero-day du navigateur Yandex (CVE-2024-6473, score CVSS 8.4) avait été exploitée grâce à un détournement de DLL.
Un groupe structuré et orienté vers la persistance
Usage systématique d’exploits zero-day
Les caractéristiques des attaques menées par TaxOff révèlent un groupe hautement structuré avec des capacités avancées. Il privilégie l’usage de vulnérabilités zero-day pour contourner les protections et maintenir un accès persistant sur les machines compromises. Les charges utiles qu’ils développent témoignent d’un niveau d’expertise élevé, orienté vers le long terme.
Cette actualité confirme une fois de plus l’importance d’anticiper les menaces avancées. Chez CyberCare, nous accompagnons les entreprises souhaitant renforcer leur posture de sécurité avec des solutions de cybersécurité sur mesure et des formations pour rester en alerte face aux compromissions ciblées.
