Эксперты Kaspersky GReAT сообщили о первом зафиксированном применении коммерческого шпионского ПО от бывшей HackingTeam

Эксперты Kaspersky GReAT сообщили о первом зафиксированном применении коммерческого шпионского ПО Dante — разработанного компанией Memento Labs (ранее HackingTeam) — в реальных целевых атаках.

Об этом специалисты рассказали на конференции Security Analyst Summit 2025 в Таиланде. Анализ, проведённый «Лабораторией Касперского», показал связь между серией атак под условным названием «Форумный тролль» и набором вредоносных инструментов, среди которых были LeetAgent и обнаруженные признаки использования Dante.

Операция «Форумный тролль» стартовала по крайней мере в марте 2025 года и была направлена на сотрудников СМИ, государственных, образовательных и финансовых организаций в России. Для заражения использовалась уязвимость нулевого дня в браузере Chrome: достаточно было перейти по фишинговой ссылке — и устройство заражалось практически без участия жертвы.

LeetAgent, по которому исследователи проследили активность до 2022 года, представляет собой шпионский модуль с редкой для такого рода ПО особенностью — команды написаны на языке Leet. При изучении инструментов атак Kaspersky обнаружила сходства в коде между LeetAgent и ранее малоизвестными компонентами, что позволило связать часть арсенала злоумышленников с коммерческим продуктом Dante. По данным исследователей, Dante и некоторые другие инструменты, применённые в кампании, имеют сходные элементы реализации, указывающие на Memento Labs как на их автора.