{"id":30240,"date":"2025-11-07T11:53:59","date_gmt":"2025-11-07T09:53:59","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30240"},"modified":"2025-11-07T11:53:59","modified_gmt":"2025-11-07T09:53:59","slug":"forumtroll-dante-leetagent","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/forumtroll-dante-leetagent\/30240\/","title":{"rendered":"Il ForumTroll e i suoi colleghi italiani"},"content":{"rendered":"

I nostri esperti del Kaspersky Global Research and Analysis Team (GReAT) hanno ricostruito la catena di infezione utilizzata negli attacchi del gruppo APT ForumTroll. Durante le indagini hanno scoperto che gli strumenti utilizzati da ForumTroll venivano utilizzati anche per distribuire il malware commerciale Dante. Boris Larin ha tenuto una presentazione dettagliata di questa ricerca<\/a> al convegno Security Analyst Summit 2025 in Thailandia.<\/p>\n

Che cos\u2019\u00e8 ForumTroll APT e come funziona?<\/h2>\n

A marzo le nostre tecnologie hanno rilevato un\u2019ondata di infezioni<\/a> di aziende russe con malware sofisticato precedentemente sconosciuto. Gli attacchi hanno utilizzato pagine Web di breve durata che sfruttavano la vulnerabilit\u00e0 zero-day CVE-2025-2783<\/a> in Google Chrome. Gli autori degli attacchi hanno inviato e-mail a dipendenti di media, governo, istituzioni educative e finanziarie russe, invitandoli a partecipare al forum scientifico ed esperto di Primakov Readings, motivo per cui alla campagna \u00e8 stato assegnato il nome accattivante \u201cForum Troll\u201d e il gruppo dietro si chiamava ForumTroll. Quando si \u00e8 fatto clic sul collegamento contenuto nell\u2019e-mail, il dispositivo \u00e8 stato infettato da malware. Il malware utilizzato dagli autori degli attacchi \u00e8 stato denominato LeetAgent perch\u00e9 ha ricevuto comandi dal server di controllo con l\u2019ortografia modificata da Leet<\/a>.<\/p>\n

Dopo la pubblicazione iniziale, gli esperti GReAT hanno continuato a indagare sull\u2019attivit\u00e0 di ForumTroll. In particolare, hanno riscontrato diversi altri attacchi da parte dello stesso gruppo ai danni di organizzazioni e individui sia in Russia che in Bielorussia. Inoltre, durante la ricerca di attacchi che utilizzassero LeetAgent, hanno scoperto casi in cui venivano utilizzati altri malware molto pi\u00f9 sofisticati.<\/p>\n

Che cos\u2019\u00e8 Dante e cosa c\u2019entra HackingTeam?<\/h2>\n

Il malware rilevato aveva una struttura modulare, utilizzava il criptaggio dei moduli con chiavi univoche per ciascuna vittima e si autodistruggeva dopo un certo periodo di tempo se non veniva ricevuto alcun comando dal server di controllo. Ma soprattutto, i nostri ricercatori sono riusciti a identificarlo come uno spyware commerciale chiamato Dante, sviluppato dall\u2019azienda italiana Memento Labs, precedentemente nota come Hacking Team.<\/p>\n

HackingTeam \u00e8 stato uno dei pionieri degli spyware commerciali. Ma nel 2015 l\u2019infrastruttura dell\u2019azienda \u00e8 stata violata e gran parte della documentazione interna, incluso il codice sorgente dello spyware commerciale, \u00e8 stata pubblicata online. Successivamente, l\u2019azienda \u00e8 stata venduta e ribattezzata Memento Labs.<\/p>\n

\u00c8 possibile leggere ulteriori informazioni sulle funzionalit\u00e0 del malware Dante e su come i nostri esperti hanno scoperto che si trattava effettivamente di Dante nel post di blog di Securelist<\/a>. \u00c8 inoltre possibile trovare gli indicatori di compromissione corrispondenti l\u00ec.<\/p>\n

Come proteggersi<\/h2>\n

Inizialmente, gli attacchi tramite LeetAgent venivano rilevati tramite la nostra soluzione XDR<\/a>. Inoltre, i dettagli di questa ricerca, nonch\u00e9 le informazioni sul gruppo ForumTroll e sullo spyware Dante che apprenderemo in futuro, saranno disponibili per gli abbonati al nostro servizio di dati sulle minacce APT sul Portale Threat Intelligence<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

I nostri esperti hanno individuato strumenti comuni utilizzati sia dal gruppo APT ForumTroll che dagli autori degli attacchi che utilizzano il malware Dante di Memento Labs.<\/p>\n","protected":false},"author":2706,"featured_media":30242,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955],"tags":[592,682,3904],"class_list":{"0":"post-30240","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-great","11":"tag-thesas2025"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/forumtroll-dante-leetagent\/30240\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/forumtroll-dante-leetagent\/12959\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/forumtroll-dante-leetagent\/28696\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/forumtroll-dante-leetagent\/31586\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/forumtroll-dante-leetagent\/40800\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/forumtroll-dante-leetagent\/13948\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/forumtroll-dante-leetagent\/54670\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/forumtroll-dante-leetagent\/23337\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/forumtroll-dante-leetagent\/32869\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/forumtroll-dante-leetagent\/29892\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30240","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=30240"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30240\/revisions"}],"predecessor-version":[{"id":30246,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30240\/revisions\/30246"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/30242"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=30240"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=30240"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=30240"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}