Het Global Research and Analysis Team (GReAT) van Kaspersky heeft bewijs gevonden dat Memento Labs, de opvolger van HackingTeam, betrokken is bij een nieuwe golf van cyberespionage-aanvallen.
In maart 2025 onthulde Kaspersky GReAT ForumTroll, een geavanceerde cyberespionagecampagne die misbruik maakte van de zero-day-kwetsbaarheid CVE-2025-2783 in Chrome.
De groep achter de campagne verstuurde gepersonaliseerde phishingmails, die leken op uitnodigingen voor het Primakov Readings-forum. De e-mails waren gericht op media, de overheid, onderwijsinstellingen en financiële organisaties in Rusland.
Tijdens het onderzoek naar de ForumTroll-campagne ontdekten onderzoekers de spyware LeetAgent (die al sinds 2022 bestaat).
De software staat bekend om zijn besturingscommando's die zijn geschreven in 'leetspeak' – een zeldzame functie in APT-malware (advanced-targeted-attack).
Kaspersky GReAT vindt nieuwe HackingTeam-spyware actief na jaren van stilte
Door een aantal gevallen te observeren en analyseren, stelden deskundigen vast dat LeetAgent de tool was die de geavanceerde spyware lanceerde, of dat beide hetzelfde loader framework gebruikten, het laadframe dat hackers gebruikten om andere schadelijke codecomponenten te downloaden, activeren of implementeren in het systeem van het slachtoffer.
Daarmee hebben experts het verband tussen de twee soorten malware en de aanvallen onderling bevestigd.
De resterende spyware verbergt zijn malware met behulp van geavanceerde anti-analysetechnieken, waaronder VMProtect-verduisteringstechnologie. Kaspersky-experts konden echter de naam van de malware uit de broncode halen: Dante.
Onderzoekers identificeerden Dante als de naam van commerciële spyware die werd ontwikkeld en gepromoot door Memento Labs, de opvolger en naamswijziging van HackingTeam.
Bovendien vertonen de nieuwste voorbeelden van HackingTeam's spyware Remote Control System (RCS), die Kaspersky in handen kreeg, een duidelijke gelijkenis met Dante.
Het bestaan van commerciële spywareleveranciers is nog steeds algemeen bekend in de sector, aldus Boris Larin, Hoofd Beveiligingsonderzoek bij Kaspersky GReAT.
Het is echter niet eenvoudig om de producten van deze leveranciers te bemachtigen, vooral niet bij gerichte aanvallen.
"Om de oorsprong van Dante te vinden, moesten we elke laag van de verhulde malware afpellen, een paar zeldzame sporen volgen door de jaren heen van ontwikkeling van de malware en deze met elkaar vergelijken om de oorsprong te vinden", aldus Boris Larin.
De hackersgroep, HackingTeam genaamd, werd in 2003 opgericht door een aantal Italianen. Volgens onderzoekers staat de groep bekend om hun vaardigheid in het Russisch en hun diepgaande kennis van de lokale context.
Bron: https://nld.com.vn/phan-mem-gian-diep-cua-nhom-hacker-khet-tieng-bat-ngo-xuat-hien-tro-lai-196251121182602181.htm
Reactie (0)