APT
I nostri esperti del Kaspersky Global Research and Analysis Team (GReAT) hanno ricostruito la catena di infezione utilizzata negli attacchi del gruppo APT ForumTroll. Durante le indagini hanno scoperto che gli strumenti utilizzati da ForumTroll venivano utilizzati anche per distribuire il malware commerciale Dante. Boris Larin ha tenuto una presentazione dettagliata di questa ricerca al convegno Security Analyst Summit 2025 in Thailandia.
Che cos’è ForumTroll APT e come funziona?
A marzo le nostre tecnologie hanno rilevato un’ondata di infezioni di aziende russe con malware sofisticato precedentemente sconosciuto. Gli attacchi hanno utilizzato pagine Web di breve durata che sfruttavano la vulnerabilità zero-day CVE-2025-2783 in Google Chrome. Gli autori degli attacchi hanno inviato e-mail a dipendenti di media, governo, istituzioni educative e finanziarie russe, invitandoli a partecipare al forum scientifico ed esperto di Primakov Readings, motivo per cui alla campagna è stato assegnato il nome accattivante “Forum Troll” e il gruppo dietro si chiamava ForumTroll. Quando si è fatto clic sul collegamento contenuto nell’e-mail, il dispositivo è stato infettato da malware. Il malware utilizzato dagli autori degli attacchi è stato denominato LeetAgent perché ha ricevuto comandi dal server di controllo con l’ortografia modificata da Leet.
Dopo la pubblicazione iniziale, gli esperti GReAT hanno continuato a indagare sull’attività di ForumTroll. In particolare, hanno riscontrato diversi altri attacchi da parte dello stesso gruppo ai danni di organizzazioni e individui sia in Russia che in Bielorussia. Inoltre, durante la ricerca di attacchi che utilizzassero LeetAgent, hanno scoperto casi in cui venivano utilizzati altri malware molto più sofisticati.
Che cos’è Dante e cosa c’entra HackingTeam?
Il malware rilevato aveva una struttura modulare, utilizzava il criptaggio dei moduli con chiavi univoche per ciascuna vittima e si autodistruggeva dopo un certo periodo di tempo se non veniva ricevuto alcun comando dal server di controllo. Ma soprattutto, i nostri ricercatori sono riusciti a identificarlo come uno spyware commerciale chiamato Dante, sviluppato dall’azienda italiana Memento Labs, precedentemente nota come Hacking Team.
HackingTeam è stato uno dei pionieri degli spyware commerciali. Ma nel 2015 l’infrastruttura dell’azienda è stata violata e gran parte della documentazione interna, incluso il codice sorgente dello spyware commerciale, è stata pubblicata online. Successivamente, l’azienda è stata venduta e ribattezzata Memento Labs.
È possibile leggere ulteriori informazioni sulle funzionalità del malware Dante e su come i nostri esperti hanno scoperto che si trattava effettivamente di Dante nel post di blog di Securelist. È inoltre possibile trovare gli indicatori di compromissione corrispondenti lì.
Come proteggersi
Inizialmente, gli attacchi tramite LeetAgent venivano rilevati tramite la nostra soluzione XDR. Inoltre, i dettagli di questa ricerca, nonché le informazioni sul gruppo ForumTroll e sullo spyware Dante che apprenderemo in futuro, saranno disponibili per gli abbonati al nostro servizio di dati sulle minacce APT sul Portale Threat Intelligence.
Consigli