Se infiltró a través de Chrome, robó documentos y desapareció antes de que el antivirus pudiera reaccionar: análisis de la puerta trasera Trinper

En marzo de 2025, especialistas de Positive Technologies detectaron una serie de ataques dirigidos contra organizaciones rusas utilizando una vulnerabilidad previamente desconocida en Google Chrome. Detrás de la operación cibernética estaba el grupo TaxOff, que empleó el exploit CVE-2025-2783 para instalar un potente backdoor llamado Trinper. La vulnerabilidad ya ha sido corregida, pero el ataque demostró cuán peligrosas pueden ser las cadenas de explotación basadas en vulnerabilidades de día cero.

El punto de inicio de la infección fue un correo de phishing disfrazado como invitación al foro "Lecturas de Primakov". Al hacer clic en el enlace del correo, se activaba el exploit con un solo clic, tras lo cual el troyano Trinper se instalaba en el equipo de la víctima. Un esquema similar ya se había observado en octubre de 2024, cuando el malware se distribuía mediante invitaciones a una conferencia de seguridad del Estado de la Unión.

Trinper está escrito en C++ y utiliza multiprocesamiento para recolectar información del sistema, registrar pulsaciones del teclado y robar archivos de formatos específicos, incluidos .doc, .xls, .ppt, .rtf y .pdf. El backdoor establece conexión con un servidor remoto de control (C2), desde el cual recibe órdenes: desde ejecutar la línea de comandos y crear un shell inverso hasta modificar directorios y autodestruirse. Gracias al uso de múltiples hilos, Trinper no solo logra mantenerse oculto eficazmente, sino también mantener un intercambio constante de datos con el servidor, descargar módulos adicionales y ejecutar escenarios complejos.

Como cargadores del software malicioso se utilizaron herramientas como Donut y Cobalt Strike. En uno de los casos, el código malicioso se distribuyó a través de un archivo ZIP que contenía un acceso directo de Windows que ejecutaba un comando de PowerShell para descargar un documento falso y activar la instalación de Trinper.

Según Positive Technologies, el análisis del comportamiento de la cadena de infección reveló similitudes con los ataques del grupo de hackers conocido como Team46. Además, un mes antes del incidente de marzo se habían detectado correos de phishing similares supuestamente enviados en nombre de la empresa Rostelecom, que informaban sobre trabajos técnicos. Estos también contenían un archivo ZIP con un acceso directo que ejecutaba PowerShell y descargaba el backdoor.

Otro episodio, descrito en septiembre de 2024 por la empresa Doctor Web, está relacionado con un ataque a una empresa de logística, en el cual se utilizó una vulnerabilidad de día cero CVE-2024-6473 en el navegador Yandex. El código malicioso reemplazaba archivos DLL en el sistema (DLL Hijacking), permitiendo cargar y ejecutar software arbitrario. La vulnerabilidad fue corregida recién en septiembre de 2024, con la publicación de la versión 24.7.1.380.

Según los especialistas, TaxOff posee capacidades sostenidas para llevar a cabo ataques complejos y dirigidos. El uso de exploits de día cero y backdoors personalizados evidencia un enfoque estratégico del grupo para mantener una presencia prolongada en la infraestructura de sus víctimas. Los vectores de ataque, los cebos por correo y los métodos de entrega del malware demuestran un alto nivel de preparación y una orientación hacia objetivos específicos —desde organismos estatales hasta el sector industrial.