Die als CVE-2025-2783 registrierte Zero-Day-Lücke ermöglichte es Angreifern, den Sandbox-Schutz von Chrome zu umgehen – eine zentrale Sicherheitsfunktion des Browsers. Die Schwachstelle wurde im Rahmen einer Kampagne entdeckt, die Kaspersky unter dem Namen "Operation ForumTroll"“ führt. Angriffsweg waren personalisierte Phishing-E-Mails, die vermeintliche Einladungen zu einem geopolitischen Forum enthielten.

Bereits das Anklicken des Links reichte aus, um ein System zu kompromittieren – weitere Nutzeraktionen waren nicht erforderlich. Die Kampagne richtete sich laut Kaspersky gezielt gegen Medien, Bildungseinrichtungen und staatliche Stellen in Russland.

Mehrstufige Exploit-Kette

Technisch gesehen handelte es sich um eine mehrstufige Exploit-Kette, die mindestens zwei Schwachstellen ausnutzte: ein unbekannter Remote-Code-Execution-Exploit (RCE) als Einstiegspunkt sowie der nun entdeckte Sandbox-Ausbruch. Die verwendete Malware war so konzipiert, dass sie möglichst unauffällig agierte – Hinweise auf Datenabfluss oder weitere Systemmanipulationen legen eine Nutzung durch eine APT-Gruppe nahe, also einen Angreifer mit langfristiger Spionageabsicht und hoher technischer Kompetenz.

Die genauere Analyse zeigt dabei, dass der von Kaspersky entdeckte Exploit eine Schwachstelle im Just-in-Time-Compiler (JIT) der JavaScript-Engine von Chrome ausnutzte. Dabei wurde eine gezielte Manipulation von Speicherbereichen vorgenommen, um aus der eigentlich geschützten Ausführungsumgebung – der sogenannten Sandbox – auszubrechen.

Aufwendig geplanter Angriff

In Kombination mit einem vorgeschalteten RCE-Exploit ermöglichte dies die vollständige Ausführung von Schadcode auf dem angegriffenen System. Auffällig war, dass die schädlichen Links nur kurze Zeit aktiv waren und nach erfolgreicher Ausnutzung automatisch auf legitime Inhalte weiterleiteten – ein Hinweis auf eine gezielt verschleierte Infrastruktur und aufwendig geplante Angriffsmechanismen.

Nach der Analyse informierte Kaspersky Google, das am 25. März 2025 einen Sicherheitspatch bereitstellte. Die Ermittlungen zur Operation ForumTroll dauern an. Kaspersky will weitere technische Details veröffentlichen, sobald die Sicherheit der betroffenen Browsernutzung gewährleistet ist. Nutzerinnen und Nutzer werden dringend aufgefordert, ihre Chrome-Installation zu aktualisieren.