La infección se produce cuando la víctima hace clic en un enlace de un correo electrónico de phishing
Google ha publicado correcciones fuera de banda para abordar una falla de seguridad de alta gravedad en su navegador Chrome para Windows que ha sido explotada como parte de ataques dirigidos a organizaciones en Rusia.
La vulnerabilidad, identificada como CVE-2025-2783, se ha descrito como un caso de "controlador incorrecto proporcionado en circunstancias no especificadas en Mojo para Windows". Mojo se refiere a un conjunto de bibliotecas de ejecución que proporcionan un mecanismo independiente de la plataforma para la comunicación entre procesos (IPC).
Como es habitual, Google no reveló detalles técnicos adicionales sobre la naturaleza de los ataques, la identidad de los actores de amenazas responsables ni quiénes podrían haber sido los objetivos. La vulnerabilidad se ha detectado en la versión 134.0.6998.177/.178 de Chrome para Windows.
"Google tiene conocimiento de informes que indican que existe un exploit para CVE-2025-2783", reconoció el gigante tecnológico en un breve aviso.
Cabe destacar que CVE-2025-2783 es el primer día cero de Chrome explotado activamente desde principios de año. Los investigadores de Kaspersky, Boris Larin e Igor Kuznetsov, fueron los responsables de descubrir y reportar la vulnerabilidad el 20 de marzo de 2025.
El proveedor ruso de ciberseguridad, en su propio boletín, calificó la explotación de día cero de CVE-2025-2783 como un ataque dirigido técnicamente sofisticado, indicativo de una amenaza persistente avanzada (APT). Está rastreando la actividad bajo el nombre de Operación ForumTroll.
"En todos los casos, la infección se produjo inmediatamente después de que la víctima hiciera clic en un enlace de un correo electrónico de phishing y se abriera el sitio web de los atacantes con el navegador Google Chrome, afirmaron los investigadores. "No fue necesario realizar ninguna otra acción para infectarse".
"La esencia de la vulnerabilidad reside en un error lógico en la intersección de Chrome y el sistema operativo Windows, que permite eludir la protección sandbox del navegador".
Se dice que los enlaces de corta duración fueron personalizados para los objetivos, siendo el espionaje el objetivo final de la campaña. Los correos electrónicos maliciosos, según Kaspersky, contenían invitaciones supuestamente de los organizadores de un foro científico y de expertos legítimo, Primakov Readings.
Los correos electrónicos de phishing se dirigieron a medios de comunicación, instituciones educativas y organizaciones gubernamentales de Rusia. Además, CVE-2025-2783 está diseñado para ejecutarse junto con un exploit adicional que facilita la ejecución remota de código. Kaspersky afirmó no haber podido obtener el segundo exploit.
"Todos los artefactos de ataque analizados hasta ahora indican una alta sofisticación de los atacantes, lo que nos permite concluir con seguridad que un grupo APT patrocinado por un estado está detrás de este ataque", dijeron los investigadores.
En vista de la explotación activa, también se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones a medida que estén disponibles.
