Российская компания в сфере кибербезопасности заявила, что нашла доказательства использования шпионского программного обеспечения, разработанного итальянской фирмой Memento Labs — ранее известной как "Hacking Team" — в атаках на организации в России и Беларуси.
В опубликованном в понедельник отчёте исследователи из «Лаборатории Касперского» сообщили, что выявили коммерческое шпионское ПО компании, известное как Dante, в нескольких атаках, связанных с хакерской группой под названием ForumTroll.
В «Лаборатории Касперского» отметили, что не обнаружили активных заражений Dante среди своих клиентов, а также не смогли установить, кто был заказчиком операции ForumTroll. Неясно также, сколько злоумышленники могли заплатить за использование шпионского ПО и знала ли компания о его применении, говорится в отчёте.
«Владение русским языком и знание местной специфики — характерные черты группы ForumTroll, которые мы наблюдали и в других её кампаниях, — отмечают исследователи. — Однако ошибки в некоторых случаях указывают на то, что злоумышленники не являются носителями русского языка».
Базирующаяся в Милане компания Memento Labs не ответила на запросы о комментариях.
Этот отчёт стал первым задокументированным случаем применения Dante в реальных кибератаках с момента его представления Memento Labs в 2023 году на закрытой конференции для правоохранительных и разведывательных органов, отметили исследователи.
Обнаружение «Лаборатории Касперского» стало побочным результатом расследования шпионской атаки ForumTroll, произошедшей в марте этого года. Хакеры нацелились на российские СМИ, университеты, научно-исследовательские центры, государственные учреждения и финансовые организации, рассылая фишинговые письма, замаскированные под приглашения на известный российский научно-экспертный форум.
Злоумышленники отправляли вредоносные ссылки, использовавшие ранее неизвестную уязвимость в браузере Google Chrome, 0-day, сообщили исследователи. «Лаборатория Касперского» уведомила Google об уязвимости (CVE-2025-2783), и компания выпустила обновление.
По словам исследователей, в этой кампании Dante не использовался, однако изучение инцидентов, связанных с ForumTroll, в конечном итоге привело «Лабораторию Касперского» к обнаружению шпионского ПО в других местах.
В последней кампании ForumTroll использовался разработанный группой инструмент LeetAgent, сообщили исследователи.
Иногда он служил загрузчиком для Dante, который значительно более продвинут технологически. LeetAgent используется как минимум с 2022 года.
Компания Hacking Team ранее продавала инструменты для взлома и слежки правительственным клиентам по всему миру, но в 2015 году подверглась масштабной утечке данных.
Фирма подвергалась критике за продажу своего шпионского ПО Remote Control Systems (RCS) странам с «постоянными серьёзными нарушениями прав человека», согласно отчёту правозащитной организации Citizen Lab. В докладе 2014 года Citizen Lab установила, что RCS использовалось как минимум в 20 странах, включая Саудовскую Аравию, Судан, Мексику, Азербайджан, Египет, Венгрию, Италию и Казахстан.
После утечки компания была приобретена, переименована в Memento Labs и продолжила продвигать свои «интеллектуальные решения» для правоохранительных и разведывательных структур.
- Источник: https://therecord.media/memento-labs-formerly-hacking-team-dante-spyware-russia-kaspersky
В опубликованном в понедельник отчёте исследователи из «Лаборатории Касперского» сообщили, что выявили коммерческое шпионское ПО компании, известное как Dante, в нескольких атаках, связанных с хакерской группой под названием ForumTroll.
В «Лаборатории Касперского» отметили, что не обнаружили активных заражений Dante среди своих клиентов, а также не смогли установить, кто был заказчиком операции ForumTroll. Неясно также, сколько злоумышленники могли заплатить за использование шпионского ПО и знала ли компания о его применении, говорится в отчёте.
«Владение русским языком и знание местной специфики — характерные черты группы ForumTroll, которые мы наблюдали и в других её кампаниях, — отмечают исследователи. — Однако ошибки в некоторых случаях указывают на то, что злоумышленники не являются носителями русского языка».
Базирующаяся в Милане компания Memento Labs не ответила на запросы о комментариях.
Этот отчёт стал первым задокументированным случаем применения Dante в реальных кибератаках с момента его представления Memento Labs в 2023 году на закрытой конференции для правоохранительных и разведывательных органов, отметили исследователи.
Обнаружение «Лаборатории Касперского» стало побочным результатом расследования шпионской атаки ForumTroll, произошедшей в марте этого года. Хакеры нацелились на российские СМИ, университеты, научно-исследовательские центры, государственные учреждения и финансовые организации, рассылая фишинговые письма, замаскированные под приглашения на известный российский научно-экспертный форум.
Злоумышленники отправляли вредоносные ссылки, использовавшие ранее неизвестную уязвимость в браузере Google Chrome, 0-day, сообщили исследователи. «Лаборатория Касперского» уведомила Google об уязвимости (CVE-2025-2783), и компания выпустила обновление.
По словам исследователей, в этой кампании Dante не использовался, однако изучение инцидентов, связанных с ForumTroll, в конечном итоге привело «Лабораторию Касперского» к обнаружению шпионского ПО в других местах.
В последней кампании ForumTroll использовался разработанный группой инструмент LeetAgent, сообщили исследователи.
Иногда он служил загрузчиком для Dante, который значительно более продвинут технологически. LeetAgent используется как минимум с 2022 года.
Компания Hacking Team ранее продавала инструменты для взлома и слежки правительственным клиентам по всему миру, но в 2015 году подверглась масштабной утечке данных.
Фирма подвергалась критике за продажу своего шпионского ПО Remote Control Systems (RCS) странам с «постоянными серьёзными нарушениями прав человека», согласно отчёту правозащитной организации Citizen Lab. В докладе 2014 года Citizen Lab установила, что RCS использовалось как минимум в 20 странах, включая Саудовскую Аравию, Судан, Мексику, Азербайджан, Египет, Венгрию, Италию и Казахстан.
После утечки компания была приобретена, переименована в Memento Labs и продолжила продвигать свои «интеллектуальные решения» для правоохранительных и разведывательных структур.
- Источник: https://therecord.media/memento-labs-formerly-hacking-team-dante-spyware-russia-kaspersky