Im März 2025 wurde eine besonders gefährliche Schwachstelle in Google Chrome entdeckt, die unter der Bezeichnung CVE-2025-2783 klassifiziert wurde. Diese Zero-Day-Sicherheitslücke ermöglichte es der Hackergruppe TaxOff, eine ausgefeilte Backdoor mit dem Namen Trinper auf den Zielsystemen zu installieren. Trotz der schnellen Reaktion von Google durch ein zeitnahes Patchen der Lücke, wirft der Angriff ein Schlaglicht auf die immer raffinierteren Methoden, mit denen Cyberkriminelle moderne IT-Systeme kompromittieren. TaxOff ist bislang eine wenig bekannte, aber hochprofessionelle Hacking-Gruppe, die erstmals im November 2024 auf dem Radar von Sicherheitsexperten erschien. Ihre Angriffe konzentrieren sich vornehmlich auf Regierungsstellen und Institutionen im Bereich Recht und Finanzen.
Dabei nutzen sie vor allem gezielte Phishing-E-Mails, um ihre schädliche Software zu verbreiten. Die Strategie zielt darauf ab, möglichst glaubwürdige und kontextspezifische Nachrichten zu versenden, die Empfänger zum Anklicken manipulativ gestalteter Links verleiten und so die Infektion auslösen. Das zentrale Element der Angriffe ist die Ausnutzung der Chrome-Schwachstelle CVE-2025-2783, eine Sandbox-Escape-Lücke mit einem CVSS-Score von 8,3, was auf ein hohes Risiko hinweist. Technisch ermöglicht diese Schwachstelle einem Angreifer, aus der isolierten Sandbox des Browsers auszubrechen und schädlichen Code mit erweiterten Rechten auf dem Zielgerät auszuführen. Die Exploits dieser Art sind besonders gefährlich, da sie eine direkte und unbemerkte vollständige Systemkontrolle ermöglichen.
Der Angriff begann meist mit einer täuschend echt wirkenden Phishing-E-Mail, die als Einladung zu renommierten Events wie den Primakov Readings oder einer internationalen Sicherheitskonferenz getarnt war. Die Links führten auf gefälschte Webseiten, die den Exploit bereithielten. Bei Klick auf den Link wurde automatisch der Zero-Day Exploit ausgelöst und der Trinper-Backdoor installiert, ohne dass das Opfer eine weitere Aktion durchführen musste. Die Trinper-Backdoor selbst ist ein komplex programmiertes Tool, das in C++ entwickelt wurde und durch Multithreading eine gleichzeitige und verdeckte Ausführung mehrerer Funktionen ermöglicht. Zu den wichtigsten Fähigkeiten gehören das Sammeln umfangreicher Host-Informationen, Keylogging zur Erfassung von Tastatureingaben sowie das gezielte Auslesen und Exfiltrieren sensibler Dokumente in Formaten wie DOC, XLS, PPT, RTF und PDF.
Über eine persistente Verbindung zu einem Command-and-Control-Server (C2) erhält die Backdoor Befehle, um Dateizugriffe zu steuern, Befehle über die Kommandozeile auszuführen, eine Reverse-Shell zu starten und den eigenen Betrieb bei Bedarf zu beenden. Dadurch wird eine dauerhafte Kontrolle über das befallene System gewährleistet, während die Backdoor im Hintergrund weitgehend verborgen bleibt. Multithreading trägt entscheidend dazu bei, die vielfältigen Aktivitäten parallel und möglichst unentdeckt durchzuführen. Die Hackergruppe kann so in Echtzeit auf neue Anforderungen reagieren, weitere Module nachladen oder Informationen gezielt verblenden. Positive Technologies verfolgt die Spuren solcher Angriffe bereits seit Oktober 2024.
Damals wurde eine vergleichbare Attacke initiiert, die ebenfalls per Phishing-Mail startete. Diese enthielt einen Link, der ein ZIP-Archiv mit einer Windows-Verknüpfung herunterlud. Diese Verknüpfung startete eine PowerShell-Session, die zum einen eine Täuschungsdatei (Decoy) präsentierte, zum anderen aber den Trinper-Backdoor-Loader via Donut bot. Später wurden Variationen mit Cobalt Strike anstelle des Donut Loaders beobachtet. Das Vorgehen weist Parallelen zu einer anderen Hackergruppe namens Team46 auf, die ebenfalls gezielte Phishing-Kampagnen gegen russische Unternehmen durchführt.
Team46 nutzte im November 2024 E-Mails, die angeblich von Rostelecom stammten, um via ZIP-Dateien mit eingebetteten PowerShell-Verknüpfungen Backdoor-Loader zu verbreiten. Auch deren Angriffe zielten unter anderem auf wichtige Industriebereiche wie den Schienengüterverkehr ab. Eine weitere interessante Verbindung stellt ein Angriff aus März 2024 dar, bei dem eine Zero-Day-Schwachstelle in Yandex Browser (CVE-2024-6473) genutzt wurde. Dort erfolgte mittels DLL-Hijacking die Einschleusung von Malware. Die Verbindung zwischen Team46 und TaxOff wird durch ähnliche Techniken und Zielgruppen nahegelegt, was in der Cybersicherheits-Community intensiv diskutiert wird.
Die Bedeutung solcher Zero-Day-Angriffe liegt darin, dass sie den Angreifern eine weitgehende Unberechenbarkeit geben. Anwender und Organisationen können sich nicht dank bestimmter Signaturen oder Muster schützen, da diese Lücken ungepatcht und unbekannt bleiben, bis sie entdeckt werden. Genau diese Eigenschaft macht den Einsatz von Trinper gefährlich: Die Angreifer können tiefgreifend in kritische Infrastrukturen eindringen und sich dort langfristig etablieren, ohne aufzufallen. Inzwischen hat Google die Lücke durch entsprechende Sicherheitsupdates geschlossen, weshalb die Nutzer dringend angewiesen werden, ihre Browser regelmäßig zu aktualisieren. Auch das Bewusstsein für gezielte Phishing-Kampagnen muss gestärkt werden, um die häufigste Einfallstor zu schließen.
Schulungen und technische Schutzmechanismen wie E-Mail-Filter und Antivirenlösungen mit KI-Unterstützung spielen hier eine zentrale Rolle. Zusammenfassend zeigt der Vorfall CVE-2025-2783, wie wichtig ein umfassendes und mehrstufiges Sicherheitskonzept ist, das sowohl auf technische als auch auf organisatorische Maßnahmen setzt. Nur durch eine Kombination aus Patch-Management, Nutzeraufklärung, Netzwerküberwachung und modernem Threat Intelligence lassen sich solche hochentwickelten Bedrohungen effektiv abwehren. Die Cyberabwehr muss stetig an die sich wandelnden Taktiken der Angreifer angepasst werden, um den Schutz sensibler Daten und Systeme sicherzustellen. Die Enthüllungen um TaxOff und ihre Trinper-Backdoor sind ein weiterer Weckruf für Unternehmen und Behörden weltweit.
Die Ära von Cyberangriffen auf Basis von Zero-Day-Exploits verlangt nach erhöhter Wachsamkeit und Investitionen in Cybersicherheit. Nur so können digitale Infrastrukturen widerstandsfähig gegen eine wachsende Flut an Bedrohungen gemacht werden, die immer ausgefeilter und schwerer zu erkennen sind.
