Spyware einer berüchtigten Hackergruppe taucht plötzlich wieder auf

Das globale Forschungs- und Analyseteam von Kaspersky (GReAT) hat Beweise dafür entdeckt, dass Memento Labs, das Nachfolgeunternehmen von HackingTeam, an einer neuen Welle von Cyber-Spionageangriffen beteiligt ist.

Konkret enthüllte Kaspersky im März 2025 ForumTroll, eine ausgeklügelte Cyber-Spionagekampagne, die die Zero-Day-Schwachstelle CVE-2025-2783 in Chrome ausnutzte.

Die Gruppe hinter der Kampagne verschickte personalisierte Phishing-E-Mails, die als Einladungen zum Primakow-Lesungsforum getarnt waren und sich an Medienunternehmen, Regierungs-, Bildungs- und Finanzorganisationen in Russland richteten.

Im Zuge der Untersuchung der ForumTroll-Kampagne entdeckten die Forscher die LeetAgent-Spionagesoftware (die seit 2022 existiert).

Die Software zeichnet sich durch ihre in „Leetspeak“ verfassten Steuerbefehle aus – ein seltenes Merkmal bei APT-Malware (Advanced Targeted Attack).

Durch die Beobachtung und Analyse einer Reihe von Fällen kamen Experten zu dem Schluss, dass LeetAgent das Tool war, das die ausgeklügelte Spyware startete, oder dass beide dasselbe Loader-Framework verwendeten, das Ladeframework, das Hacker benutzten, um andere bösartige Codekomponenten herunterzuladen, zu aktivieren oder auf dem System des Opfers zu installieren.

Dank dieser Erkenntnisse konnten Experten sowohl den Zusammenhang zwischen den beiden Malware-Arten als auch den Zusammenhang zwischen den Angriffen bestätigen.

Die verbleibende Spyware verbirgt ihre Schadsoftware mithilfe fortschrittlicher Anti-Analyse-Techniken, darunter die Verschleierungstechnologie VMProtect. Kaspersky-Experten konnten jedoch den Namen der Schadsoftware, Dante, aus dem Quellcode extrahieren.

Forscher identifizierten Dante als den Namen einer kommerziellen Spyware, die von Memento Labs, dem Nachfolgeunternehmen und umbenannten Unternehmen von HackingTeam, entwickelt und beworben wird.

Darüber hinaus weisen die neuesten von Kaspersky erhaltenen Proben der Spyware Remote Control System (RCS) von HackingTeam eine deutliche Ähnlichkeit mit Dante auf.

„Die Existenz von Anbietern kommerzieller Spyware ist in der Branche immer noch allgemein bekannt“, sagte Boris Larin, Leiter der Sicherheitsforschung bei Kaspersky GReAT.

Allerdings ist es nicht einfach, an die Produkte dieser Anbieter zu gelangen, insbesondere bei gezielten Angriffen.

„Um den Ursprung von Dante zu finden, mussten wir jede Schicht der verschleierten Malware abtragen, einige wenige Spuren über die Jahre der Entwicklung der Malware verfolgen und diese miteinander abgleichen, um den Ursprung zu ermitteln“, verriet Boris Larin.

Die Hackergruppe HackingTeam wurde 2003 von mehreren Italienern gegründet. Laut Forschern ist die Gruppe für ihre Russischkenntnisse und ihr tiefes Verständnis des lokalen Kontextes bekannt.

Quelle: https://nld.com.vn/phan-mem-gian-diep-cua-nhom-hacker-khet-tieng-bat-ngo-xuat-hien-tro-lai-196251121182602181.htm