A Kaspersky kutatói olyan támadássorozatot tártak fel, amelyben a Google Chrome egy addig ismeretlen, azóta javított biztonsági hibáját (CVE-2025-2783) használták fel célzott kiberkémkedési műveletekhez. A sebezhetőség lehetővé tette a böngésző úgynevezett sandbox védelmi rétegéből való kitörést, és ezáltal a LeetAgent telepítését. Az exploit aktiválásához mindössze annyi kellett, hogy a célpont megnyisson egy fertőzött weboldalt. A támadók egy „validator” nevű szkriptet használtak, amely először ellenőrizte, valódi felhasználóval van-e dolga. Csak ezután aktiválódott a kód, amely végül egy „loader” modulon keresztül letöltötte és telepítette a LeetAgent kémprogramot.
A kampány az „Operation ForumTroll” fedőnéven vált ismertté. Az áldozatok személyre szabott adathalász e-maileket kaptak, amelyek egy „Primakov Readings” nevű konferenciára invitáltak. A levelek rövid ideig élő, egyedileg generált linket tartalmaztak. A Kaspersky szerint a célpontok közt oroszországi és belarusz egyetemek, kutatóintézetek, médiumok, pénzintézetek és állami szervek szerepeltek. A kampány tehát nem tömeges volt, hanem célzott spear-phishing akció.
A LeetAgent egy moduláris, HTTPS-alapú kommunikációt használó kémprogram, amely parancsokat fogadhat egy távoli C2 szervertől. Az agent képes fájlokat olvasni és írni, parancsokat futtatni a cmd.exe segítségével, folyamatokat indítani vagy leállítani, shellcode-ot injektálni, valamint keyloggert és fájlgyűjtőt konfigurálni dokumentumok ellopására. A LeetAgentet 2022-ig visszakövetve, már korábbi támadásokban is használták, amelyek szintén orosz és belarusz célpontok ellen irányultak. A kampányt a Positive Technologies TaxOff/Team 46, a BI.ZONE pedig Prosperous Werewolf néven azonosította.
A Kaspersky elemzése szerint a LeetAgent gyakran szolgált ugródeszkaként a Dante nevű, korábban nem dokumentált spyware telepítéséhez. A két eszköz között több technikai átfedés is megfigyelhető volt.