Шпионское ПО от печально известной хакерской группы внезапно появилось снова

Глобальная исследовательская и аналитическая группа «Лаборатории Касперского» (GReAT) обнаружила доказательства того, что Memento Labs, компания-преемница HackingTeam, причастна к новой волне кибершпионажных атак.

В частности, в марте 2025 года компания Kaspersky GReAT разоблачила ForumTroll — сложную кампанию кибершпионажа, эксплуатирующую уязвимость нулевого дня CVE-2025-2783 в Chrome.

Группа, стоящая за кампанией, рассылала персонализированные фишинговые письма, выдавая себя за приглашения на форум «Примаковские чтения», нацеленные на средства массовой информации, государственные, образовательные и финансовые организации в России.

В ходе расследования кампании ForumTroll исследователи обнаружили шпионское ПО LeetAgent (существующее с 2022 года).

Программное обеспечение примечательно своими командами управления, написанными на языке «leetspeak» — редкой особенностью вредоносных программ APT (Advanced Targeted Attack).

В результате наблюдения и анализа ряда случаев эксперты определили, что LeetAgent был инструментом, который запустил сложное шпионское ПО, или же оба использовали одну и ту же структуру загрузчика — загрузочный фрейм, который хакеры использовали для загрузки, активации или развертывания других компонентов вредоносного кода в системе жертвы.

Благодаря этому эксперты подтвердили связь между двумя типами вредоносных программ, а также связь между атаками.

Оставшаяся шпионская программа скрывает своё вредоносное ПО, используя передовые методы антианализа, включая технологию обфускации VMProtect. Однако экспертам «Лаборатории Касперского» удалось извлечь название вредоносной программы из исходного кода — Dante.

Исследователи определили, что Dante — это название коммерческой шпионской программы, разработанной и продвигаемой Memento Labs, преемницей и переименованной компанией HackingTeam.

Кроме того, последние образцы шпионского ПО HackingTeam Remote Control System (RCS), полученные «Лабораторией Касперского», также демонстрируют явное сходство с Данте.

По словам Бориса Ларина, руководителя отдела исследований безопасности компании Kaspersky GReAT, существование поставщиков коммерческого шпионского ПО по-прежнему широко известно в отрасли.

Однако заполучить продукцию этих поставщиков непросто, особенно при целенаправленных атаках.

«Чтобы выяснить происхождение Dante, нам пришлось снять каждый слой запутанного вредоносного ПО, отследить несколько редких следов на протяжении многих лет разработки вредоносного ПО и сопоставить их, чтобы найти происхождение», — рассказал Борис Ларин.

Хакерская группа HackingTeam была основана в 2003 году группой итальянцев. По данным исследователей, участники группы известны своим знанием русского языка и глубоким пониманием местного контекста.

Источник: https://nld.com.vn/phan-mem-gian-diep-cua-nhom-hacker-khet-tieng-bat-ngo-xuat-hien-tro-lai-196251121182602181.htm