Echipa Global Research and Analysis Team (GReAT) a Kaspersky a descoperit dovezi care leagă succesorul HackingTeam – Memento Labs – de un nou val de atacuri de spionaj cibernetic. Descoperirea provine dintr-o investigație asupra Operațiunii ForumTroll, o campanie APT (Advanced Persistent Threat) care a exploatat o vulnerabilitate zero-day în Google Chrome. Cercetarea a fost prezentată în cadrul Security Analyst Summit 2025, desfășurat în Thailanda.
În martie 2025, Kaspersky GReAT a adus în atenție Operațiunea ForumTroll, o campanie sofisticată de spionaj cibernetic care exploata o vulnerabilitate zero-day în Chrome, CVE-2025-2783. Grupul APT din spatele atacului trimitea e-mailuri de tip phishing personalizate, deghizate în invitații la forumul Primakov Readings, vizând instituții media din Rusia, organizații guvernamentale, instituții educaționale și financiare.
În timpul investigării ForumTroll, cercetătorii au observat că atacatorii au folosit un spyware numit LeetAgent, care s-a remarcat prin comenzile sale scrise în „leetspeak”, o caracteristică rară în malware-urile APT. Analizele suplimentare au scos la iveală asemănări între setul său de instrumente și un spyware mai avansat pe care Kaspersky GReAT l-a observat în alte atacuri. După ce au stabilit că, în unele cazuri, acesta din urmă era lansat de LeetAgent sau că împărțeau un cadru comun de încărcare, cercetătorii au confirmat legătura dintre cele două, precum și între atacurile respective.
Deși celălalt spyware utiliza tehnici avansate de anti-analiză, inclusiv obfuscare de tip VMProtect, Kaspersky a reușit să extragă numele malware-ului din cod și l-a identificat drept Dante. Cercetătorii au descoperit că un spyware comercial cu același nume era promovat de Memento Labs, succesorul rebranduit al HackingTeam. În plus, cele mai recente mostre ale spyware-ului Remote Control System al HackingTeam, obținute de Kaspersky GReAT, prezintă similitudini cu Dante.
Pentru a evita detectarea, Dante integrează o metodă unică de analiză a mediului său înainte de a determina dacă poate desfășura în siguranță funcțiile sale.
Cercetătorii au urmărit prima utilizare a lui LeetAgent până în anul 2022 și au descoperit atacuri suplimentare ale grupului APT ForumTroll care vizau organizații și persoane din Rusia și Belarus. Grupul se remarcă printr-o bună stăpânire a limbii ruse și o cunoaștere a nuanțelor locale — trăsături observate de Kaspersky și în alte campanii asociate acestei amenințări APT. Cu toate acestea, erorile ocazionale sugerează că atacatorii nu erau vorbitori nativi.
Atacul care utiliza LeetAgent a fost detectat pentru prima dată de soluția Kaspersky Next XDR Expert. Detaliile complete ale acestei cercetări, precum și actualizările viitoare despre ForumTroll APT și Dante, sunt disponibile clienților serviciului de raportare APT prin intermediul Kaspersky Threat Intelligence Portal.
