Kaspersky descoperă un nou spyware activ, atribuit grupului HackingTeam rebranduit ca Memento Labs

Echipa Global Research and Analysis Team (GReAT) a companiei Kaspersky a identificat un nou val de atacuri cibernetice de tip spionaj, legat de succesorul grupului HackingTeam, cunoscut sub numele de Memento Labs, potrivit unui comunicat transmis redacţiei.

Descoperirea a fost făcută în cadrul unei investigaţii asupra Operatiunii ForumTroll, o campanie APT (Advanced Persistent Threat) care a exploatat o vulnerabilitate zero-day din Google Chrome (CVE-2025-2783). Rezultatele au fost prezentate la Security Analyst Summit 2025, desfăşurat în Thailanda.

Atacatorii au trimis e-mailuri de tip phishing, deghizate în invitaţii la forumul Primakov Readings, vizând instituţii media din Rusia, organizaţii guvernamentale, instituţii educaţionale şi financiare. În timpul analizei, cercetătorii Kaspersky au identificat un spyware denumit LeetAgent, caracterizat prin comenzi scrise în „leetspeak” - un stil rar întâlnit în malware-urile APT.

Ulterior, echipa a descoperit asemănări între instrumentele folosite de LeetAgent şi un spyware mai avansat, denumit Dante, utilizat în alte atacuri. Codul acestuia prezintă similitudini cu software-ul Remote Control System al HackingTeam, fiind promovat de Memento Labs, compania care a preluat activitatea HackingTeam după rebranding.

Spyware-ul Dante utilizează tehnici sofisticate de evitare a detectării, inclusiv obfuscare de tip VMProtect şi verificarea mediului de execuţie înainte de activare. Primele urme ale lui LeetAgent au fost identificate în 2022, în atacuri care vizau organizaţii şi persoane din Rusia şi Belarus.

Potrivit cercetătorilor, grupul APT ForumTroll are o bună cunoaştere a limbii ruse şi a contextului regional, deşi unele erori din cod indică faptul că atacatorii nu sunt vorbitori nativi.

Atacul bazat pe LeetAgent a fost detectat pentru prima dată prin soluţia Kaspersky Next XDR Expert. Informaţiile detaliate despre campania ForumTroll, despre spyware-ul Dante şi actualizările asociate sunt disponibile clienţilor prin Kaspersky Threat Intelligence Portal.