A Equipa Global de Investigação e Análise da Kaspersky (GReAT) descobriu evidências que ligam o sucessor da HackingTeam, Memento Labs, a uma nova onda de ciberataques. A descoberta surge de uma investigação sobre a Operação ForumTroll, uma campanha de Ameaça Persistente Avançada (APT) que explorava uma vulnerabilidade zero-day no Google Chrome. A investigação foi apresentada durante o Security Analyst Summit 2025, realizado na Tailândia.
Em março de 2025, a Kaspersky GReAT revelou a Operação ForumTroll, uma campanha de ciberespionagem altamente sofisticada que aproveitava uma vulnerabilidade zero-day no Chrome, CVE-2025-2783. O grupo APT por trás do ciberataque enviava e-mails de phishing personalizados, disfarçados de convites para o fórum Primakov Readings, direcionados a meios de comunicação russos, órgãos governamentais, instituições educacionais e entidades financeiras.
Durante a investigação, os analistas da Kaspersky descobriram que os cibercriminosos usavam um spyware chamado LeetAgent, que se destacava por empregar comandos escritos em leetspeak, uma característica incomum em malware APT. Uma análise mais aprofundada revelou semelhanças entre o seu conjunto de ferramentas e um spyware mais avançado que a Kaspersky GReAT havia observado em outros ciberataques. Ao determinar que, em alguns casos, este segundo spyware era lançado pelo LeetAgent ou partilhava o mesmo carregador, os investigadores confirmaram a relação entre ambos, bem como entre as campanhas.
Embora o segundo spyware usasse técnicas sofisticadas para evitar ser analisado, como camuflar o seu código com ferramentas como VMProtect, a Kaspersky conseguiu recuperar o nome do malware a partir do seu código e identificou-o como Dante. Os investigadores descobriram que um spyware comercial com o mesmo nome estava a ser promovido pela Memento Labs, a empresa sucessora da HackingTeam. Além disso, as amostras mais recentes do software espião Remote Control System da HackingTeam, analisadas pela GReAT, partilhavam semelhanças com o Dante.
“Embora a existência de fornecedores de spyware já seja conhecida no setor, seus produtos continuam a ser extremamente difíceis de rastrear, especialmente em ataques cibernéticos direcionados, onde a sua identificação é um grande desafio. Descobrir a origem do Dante exigiu desvendar várias camadas de código ofuscado, seguir algumas pistas raras ao longo de anos de evolução do malware e ligá-las à sua linhagem corporativa. Talvez seja por isso que o batizaram de Dante, porque rastrear as suas raízes é, literalmente, uma viagem ao inferno”, afirma Boris Larin, investigador principal de segurança da Kaspersky GReAT.
Para evitar ser detetado, o Dante utiliza um sistema único para analisar o ambiente e decidir se é seguro executar as suas funções.
Os investigadores rastrearam o uso inicial do LeetAgent até 2022 e encontraram novos ciberataques do APT ForumTroll direcionados a organizações e indivíduos na Rússia e na Bielorrússia. Este grupo destaca-se pelo domínio da língua russa e pela compreensão das nuances locais, embora alguns erros ocasionais indiquem que não são falantes nativos.
O ciberataque que envolveu o LeetAgent foi inicialmente detetado pelo Kaspersky Next XDR Expert. Os detalhes completos desta investigação, bem como futuras atualizações sobre o APT ForumTroll e o Dante, estão disponíveis para os clientes do serviço de relatórios APT através do Kaspersky Threat Intelligence Portal.
Para mais detalhes, consulte o artigo em Securelist.com.
Post A Comment:
0 comments: