Шпигунське програмне забезпечення від відомої хакерської групи раптово з'являється знову

Глобальна дослідницька та аналітична команда Kaspersky (GReAT) виявила докази того, що Memento Labs, компанія-наступниця HackingTeam, причетна до нової хвилі кібератак-шпигунів.

Зокрема, у березні 2025 року Kaspersky GReAT викрив ForumTroll, складну кампанію кібершпигунства, яка використовувала вразливість нульового дня CVE-2025-2783 у Chrome.

Група, яка стояла за цією кампанією, розсилала персоналізовані фішингові електронні листи, що видавали себе за запрошення на форум «Примаковські читання», та спрямовували їх на ЗМІ, урядові, освітні та фінансові організації в Росії.

Під час розслідування кампанії ForumTroll дослідники виявили шпигунське програмне забезпечення LeetAgent (яке існує з 2022 року).

Програмне забезпечення примітне своїми командами керування, написаними мовою «leetspeak» – рідкісною особливістю шкідливого програмного забезпечення APT (advanced-targeted-attack).

Спостерігаючи та аналізуючи низку випадків, експерти визначили, що LeetAgent був інструментом, який запускав складне шпигунське програмне забезпечення, або обидва використовували один і той самий фреймворк завантажувача – фреймворк завантаження, який хакери використовували для завантаження, активації або розгортання інших компонентів шкідливого коду в системі жертви.

Завдяки цьому експерти підтвердили зв'язок між двома типами шкідливих програм, а також зв'язок між атаками.

Решта шпигунських програм приховує своє шкідливе програмне забезпечення за допомогою передових методів антианалізу, включаючи технологію обфускації VMProtect. Однак, експертам Касперського вдалося витягти назву шкідливого програмного забезпечення з вихідного коду – Dante.

Дослідники ідентифікували Dante як назву комерційного шпигунського програмного забезпечення, розробленого та просуваного Memento Labs, наступником та ребрендованою компанією HackingTeam.

Крім того, останні зразки шпигунської системи дистанційного керування (RCS) HackingTeam, отримані Касперським, також демонструють явну схожість з Dante.

Існування постачальників комерційних шпигунських програм досі широко відомо в галузі, зазначив Борис Ларін, керівник відділу досліджень безпеки в Kaspersky GReAT.

Однак отримати доступ до продуктів цих постачальників непросто, особливо під час цілеспрямованих атак.

«Щоб знайти походження Данте, нам довелося зняти кожен шар завуальованого шкідливого програмного забезпечення, простежити кілька рідкісних слідів протягом років розробки шкідливого програмного забезпечення та зіставити їх, щоб знайти походження», – розповів Борис Ларін.

Хакерська група під назвою HackingTeam була заснована у 2003 році кількома італійцями. За словами дослідників, група відома своїм володінням російською мовою та глибоким розумінням місцевого контексту.

Джерело: https://nld.com.vn/phan-mem-gian-diep-cua-nhom-hacker-khet-tieng-bat-ngo-xuat-hien-tro-lai-196251121182602181.htm