Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto nuove prove che collegano Memento Labs, successore di HackingTeam, a una recente ondata di attacchi di cyberspionaggio. La scoperta è il risultato di un'indagine condotta nell'ambito dell'operazione ForumTroll, una campagna APT (Advanced Persistent Threat) che ha sfruttato una vulnerabilità zero-day di Google Chrome. I risultati della ricerca sono stati presentati oggi al Security Analyst Summit 2025 in Thailandia.
Nel marzo 2025, il GReAT di Kaspersky ha scoperto, attraverso l’operazione ForumTroll, una sofisticata campagna di spionaggio informatico che sfruttava la vulnerabilità zero-day di Chrome, identificata come CVE-2025-2783. Il gruppo APT responsabile dell'attacco aveva inviato e-mail di phishing personalizzate, nascoste sotto forma di inviti al forum “Primakov Readings”, indirizzate a media, istituti scolastici e organizzazioni governative in Russia.
Analizzando ForumTroll, i ricercatori hanno scoperto che gli hacker utilizzavano uno spyware denominato LeetAgent, caratterizzato da comandi scritti in leetspeak, una peculiarità rara nei malware APT. Un’analisi più approfondita ha rivelato somiglianze tra il suo set di strumenti e uno spyware più avanzato che il GReAT di Kaspersky aveva già osservato in altri attacchi. Dopo aver scoperto che, in alcuni casi, quest’ultimo veniva lanciato da LeetAgent e che i due condividevano lo stesso framework di caricamento, i ricercatori hanno confermato la connessione tra i due spyware e tra le relative campagne di attacco.
Sebbene l’altro spyware impiegasse tecniche anti-analisi avanzate, tra cui l’offuscamento VMProtect, Kaspersky è riuscita a recuperare il nome del malware dal codice, identificandolo come Dante. I ricercatori hanno poi scoperto che uno spyware commerciale con lo stesso nome era stato promosso da Memento Labs, il nuovo nome del successore di HackingTeam. Inoltre, i campioni più recenti dello spyware Remote Control System di HackingTeam, analizzati dal GReAT di Kaspersky, presentano forti somiglianze con Dante.
“Anche se la presenza dei fornitori di spyware sia ben nota nel settore, i loro prodotti restano difficili da individuare, soprattutto nel caso di attacchi mirati. Per risalire all’origine di Dante è stato necessario rimuovere diversi livelli di codice fortemente offuscato, rintracciare una manciata di impronte digitali rare nel corso di anni di evoluzione del malware e collegarle a una specifica linea aziendale. Forse è per questo che l’hanno chiamato Dante: chiunque cerchi di scoprirne le origini dovrà affrontare un vero e proprio viaggio infernale”, ha dichiarato Boris Larin, Principal Security Researcher del Kaspersky GReAT.
Per evitare di essere individuato, Dante incorpora un modo unico di analizzare l’ambiente circostante prima di determinare se può svolgere le sue funzioni in modo sicuro.
I ricercatori hanno ricondotto la prima attività di LeetAgent al 2022 e hanno individuato ulteriori attacchi del gruppo ForumTroll APT, che ha preso di mira aziende e utenti in Russia e Bielorussia. Il gruppo si distingue per la padronanza della lingua russa e la conoscenza delle specificità locali, caratteristiche che Kaspersky ha già osservato in altre campagne attribuite a questa minaccia APT. Tuttavia, alcuni errori occasionali suggeriscono che gli aggressori non fossero madrelingua russi.
L’attacco
che sfruttava LeetAgent è stato rilevato per la prima volta da Kaspersky
Next XDR Expert. Tutti i dettagli completi di questa
ricerca, insieme ai futuri aggiornamenti relativi a ForumTroll APT e Dante,
sono disponibili per i clienti del servizio di report APT tramite il Kaspersky Threat
Intelligence Portal.
Ulteriori informazioni, compresi gli indicatori di compromissione, sono
disponibili su Securelist.com.
Global Research & Analysis Team
Fondato nel 2008, il Global Research & Analysis Team (GReAT) è il cuore di Kaspersky e si occupa di scoprire APT, campagne di cyberspionaggio, principali malware, ransomware e strategie criminali clandestine in tutto il mondo. Oggi il GReAT è composto da oltre 35 esperti che lavorano a livello globale, in Europa, Russia, America Latina, Asia e Medio Oriente. Professionisti della sicurezza di grande esperienza che guidano l’azienda nella ricerca e nell’innovazione anti-malware, mettendo a disposizione expertise, passione e curiosità senza precedenti per la ricerca e l’analisi delle minacce informatiche.
