資安公司Kaspersky Labs於10月27日發布報告，揭露義大利商業間諜軟體供應商Memento Labs的「Dante」監控工具，與2025年初針對俄羅斯及白俄羅斯政府及私部門的Chrome瀏覽器零日攻擊有關。此攻擊名為「Operation ForumTroll」，利用CVE-2025-2783漏洞（CVSS 8.8），透過個人化釣魚郵件及短暫惡意連結，繞過Chrome沙箱，竊取敏感資料。Kaspersky追蹤顯示，Dante自2022年起已用於多起行動，Memento Labs為2015年Hacking Team資料外洩後的重組公司。專家警告，此類商業監控工具驅動零日攻擊，台灣政府及企業需強化瀏覽器更新及郵件過濾，防範間諜軟體導致機密外洩或國家安全威脅。

 

Kaspersky首席資安研究員Boris Larin於報告中指出，Operation ForumTroll於2025年初展開，攻擊者發送偽裝成論壇邀請的釣魚郵件，連結至短暫惡意網站，觸發Chrome零日漏洞。CVE-2025-2783源於Windows OS的邏輯漏洞，利用「偽句柄」（pseudo handles）—特殊常數值代表物件—繞過沙箱驗證，讓未經驗證遠端攻擊者執行任意程式碼。Larin形容：「這是我們遇過最有趣沙箱逃脫漏洞，源於Windows舊優化，數十年後反噬。」Google於報告後迅速修補，但攻擊已發生。Kaspersky於Kaspersky Security Analyst Summit 2025演示漏洞，警告此類問題可能影響其他應用及Windows服務。

 

攻擊追蹤顯示，Dante為Memento Labs 2023年推出產品，高度混淆，使用VMprotect工具阻礙逆向工程，所有字串加密。但Kaspersky成功剝離混淆，發現程式碼中「Dante」名稱及與Hacking Team旗艦工具Remote Control Systems（RCS）的相似性。2015年Hacking Team遭未知攻擊者入侵，外洩源碼及客戶名單，威脅公司存亡。2019年IntheCyber Group收購後，重組為Memento Labs，自稱「從零開始」，但Kaspersky發現Dante繼承RCS多項特徵，如資料外洩及持久化機制。Larin表示：「商業間諜軟體歸因難，因供應商不嵌入版權或產品名，但Dante程式碼暴露身分。」Memento Labs未回應Kaspersky查詢。

 

Dante具強大監控能力：截圖、錄影、鍵盤記錄、位置追蹤、麥克風及攝影機存取、即時螢幕共享。Kaspersky未觀察ForumTroll使用Dante，但相似程式碼連結同一團體，攻擊者可能為國家級APT。報告顯示，Dante自2022年起用於多起行動，針對高價值目標。Dark Reading資深新聞主任Rob Wright指出，此事件顯示商業間諜產業驅動零日攻擊，如Apple及Google常見，Memento Labs復活凸顯供應商持久性。

 

資安社群震驚，Kaspersky呼籲微軟及Google強化沙箱及偽句柄驗證。BleepingComputer報導，CVE-2025-2783為新類漏洞，影響Chrome及其他Chromium瀏覽器。Security Affairs分析，Memento Labs客戶可能包括政府，Dante售價高達數十萬歐元。The Hacker News指出，Hacking Team外洩後，監控產業轉地下，但技術進化未止。

 

台灣資安專家分析，此攻擊對本土政府及企業警訊。Chrome為台灣主流瀏覽器，軍事及外交單位易成APT目標。行政院國家資通安全會報表示，將監測Memento Labs相關威脅，呼籲用戶更新Chrome至最新版本，啟用沙箱及MFA。國防部亦提醒，公務郵件嚴禁點擊不明連結。趨勢科技台灣區總經理洪偉淦受訪時指出：「Dante繼承Hacking Team，Chrome零日攻擊凸顯商業監控工具風險。台灣需強化瀏覽器安全及郵件閘道。」他建議，部署WAF過濾惡意JS、監控偽句柄API呼叫，並定期紅隊測試釣魚，防範如Salt Typhoon的APT利用類似漏洞間諜。

 

此事件與近期資安趨勢呼應，如Cisco零日漏洞遭國家級APT利用、Akira攻擊SonicWall VPN，顯示零日及商業工具成熱點。Kaspersky強調，供應商應透明程式碼，政府需規範監控出口。台灣政府可借鏡歐盟，強化開源瀏覽器審核。用戶防禦之道包括：及時更新瀏覽器、驗證郵件來源、使用沙箱瀏覽器。隨著間諜產業復興，此類攻擊料將頻發，台灣需加速防禦，確保數位主權。

 

出處：Dark Reading 作者：Rob Wright，資安新聞資深主任