悪名高いハッカー集団のスパイウェアが突然再び出現

カスペルスキー社のグローバル調査分析チーム（GReAT）は、HackingTeamの後継企業であるMemento Labsが新たなサイバースパイ攻撃の波に関与しているという証拠を発見した。

具体的には、2025 年 3 月に Kaspersky GReAT が、Chrome のゼロデイ脆弱性 CVE-2025-2783 を悪用した高度なサイバースパイ活動である ForumTroll を暴露しました。

このキャンペーンの背後にいるグループは、ロシアのメディア、政府、 教育機関、金融機関をターゲットに、プリマコフ・リーディングス・フォーラムへの招待状を装った個人的なフィッシングメールを送信した。

ForumTroll キャンペーンの調査中に、研究者は LeetAgent スパイウェア (2022 年から存在) を発見しました。

このソフトウェアは、制御コマンドが「リート語」で書かれていることで有名ですが、これは APT (高度な標的型攻撃) マルウェアでは珍しい特徴です。

専門家は、数多くの事例を観察、分析した結果、LeetAgent が高度なスパイウェアを起動したツールであったか、または両方が同じローダー フレームワーク (ハッカーが他の悪意のあるコード コンポーネントを被害者のシステムにダウンロード、アクティブ化、または展開するために使用した読み込みフレーム) を使用していたことを突き止めました。

そのおかげで、専門家は 2 種類のマルウェア間の関連性と、攻撃間の関連性を確認しました。

残りのスパイウェアは、VMProtect難読化技術を含む高度な解析回避技術を用いてマルウェアを隠蔽しています。しかし、カスペルスキーの専門家はソースコードからマルウェアの名前「Dante」を抽出することに成功しました。

研究者らは、Dante が HackingTeam の後継企業でブランド名を変更した Memento Labs によって開発、宣伝されている商用スパイウェアの名前であることを特定しました。

さらに、カスペルスキーが入手した HackingTeam のスパイウェア、リモート コントロール システム (RCS) の最新サンプルも、Dante との明らかな類似点を示しています。

商用スパイウェアベンダーの存在は業界では依然として広く知られている、とカスペルスキー GReAT のセキュリティ調査責任者、ボリス・ラリン氏は言う。

しかし、特に標的型攻撃の場合、これらのベンダーの製品を入手するのは簡単ではありません。

「ダンテの起源を見つけるために、難読化されたマルウェアの各層を剥がし、マルウェアの開発期間全体を通じていくつかのまれな痕跡をたどり、それらを相互参照して起源を見つける必要がありました」とボリス・ラリンは明らかにした。

HackingTeamと呼ばれるハッカーグループは、2003年に数人のイタリア人によって設立されました。研究者によると、このグループはロシア語に堪能で、現地の状況に対する深い理解で知られています。

出典: https://nld.com.vn/phan-mem-gian-diep-cua-nhom-hacker-khet-tieng-bat-ngo-xuat-hien-tro-lai-196251121182602181.htm