Об этом эксперты Kaspersky GReAT сообщили на Security Analyst Summit 2025 в Таиланде
Эксперты Kaspersky GReAT впервые обнаружили использование шпионского ПО, созданного итальянской компанией Memento Labs (ранее HackingTeam), в реальных атаках. Отследить активность зловреда удалось благодаря анализу операции «Форумный тролль», нацеленной на сотрудников российских организаций. Об этом исследователи сообщили на Security Analyst Summit 2025 в Таиланде.
Hacking Team — один из старейших производителей шпионского ПО. Компания была основана в 2003 году и занималась разработкой и продажей «легальных» программ для слежки. Получила известность из-за шпионской программы Remote Control Systems (RCS), которой пользовались государственные органы по всему миру. После взлома в 2015 году в интернет попали 400 ГБ внутренних документов Hacking Team, а в 2019 году её купила InTheCyber Group и переименовала в Memento Labs. Спустя четыре года компания заявила о новом шпионском ПО Dante. Однако до сих пор зловред не встречался в реальных атаках, а о его возможностях было мало что известно.
Операция «Форумный тролль» и следы шпионского ПО. В марте 2025 года «Лаборатория Касперского» обнаружила сложную целевую кампанию, в которой использовалась уязвимость нулевого дня в Chrome. Злоумышленники рассылали персонализированные фишинговые письма сотрудникам СМИ, государственных, образовательных и финансовых учреждений в России с предложением поучаствовать в научно-экспертном форуме «Примаковские чтения». Если жертва переходила по ссылке и открывала браузер Chrome, устройство сразу заражалось. Никаких других действий от пользователя не требовалось.
В операции «Форумный тролль» использовалось шпионское ПО LeetAgent. Все команды были написаны на языке Leet, что редко встречается во вредоносном ПО для сложных целевых атак. Эксперты «Лаборатории Касперского» проследили активность LeetAgent до 2022 года и выявили другие атаки той же группы, нацеленные на организации и частных лиц в России и Беларуси. Изучая арсенал злоумышленников, они обнаружили ранее неизвестный зловред — и пришли к выводу, что это коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs (ранее Hacking Team). Анализ показал, что в Dante и некоторых инструментах, используемых в операции «Форумный тролль», присутствует похожий код, что указывает на то, что эти инструменты также были разработаны Memento Labs.
«Создатели шпионского ПО хорошо известны специалистам по кибербезопасности. Однако вредоносные программы бывает сложно идентифицировать и отнести конкретной группе, особенно в случае целевых атак. Чтобы установить происхождение Dante, нам пришлось разобраться в нескольких слоях запутанного кода, отследить явные признаки его использования в течение нескольких лет и сопоставить с возможными создателями. Похоже, разработчики зловреда не просто так выбрали название Dante, поскольку тому, кто пытается разобраться в его происхождении, предстоит нелёгкий путь», — комментирует Борис Ларин, ведущий эксперт Kaspersky GReAT.
Чтобы избежать обнаружения, Dante использует уникальный метод анализа среды, прежде чем определить, может ли оно безопасно выполнять свои функции. Подробнее узнать о новом шпионском ПО можно на сайте Securelist.
Кибератаки с использованием LeetAgent впервые были обнаружены Kaspersky Symphony XDR. Полные результаты исследования экспертов «Лаборатории Касперского», а также новые детали об операции «Форумный тролль» и шпионском ПО Dante будут доступны на портале Kaspersky Threat Intelligence.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 35 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.
