
Эксперты Kaspersky GReAT впервые обнаружили использование коммерческого шпионского ПО Dante, созданного итальянской компанией Memento Labs (ранее HackingTeam), в реальных атаках. Это удалось благодаря анализу операции «Форумный тролль», нацеленной на сотрудников российских организаций весной 2025 года. Исследователи проследили активность шпионского ПО до 2022 года и выявили другие атаки той же группы на компании и частных лиц в России и Беларуси.
Hacking Team — один из старейших производителей шпионского ПО. Компания была основана в 2003 году и занималась разработкой и продажей «легальных» программ для слежки. Получила известность из-за шпионской программы Remote Control Systems (RCS), которой пользовались государственные органы по всему миру. После взлома в 2015 году в интернет попали 400 ГБ внутренних документов Hacking Team, а в 2019 году её купила InTheCyber Group и переименовала в Memento Labs. Спустя четыре года компания заявила о новом шпионском ПО Dante. Однако до сих пор зловред не встречался в реальных атаках, а о его возможностях было мало что известно.
Операция «Форумный тролль» и следы шпионского ПО. В марте 2025 года исследователи Kaspersky GReAT обнаружили сложную целевую кампанию, в которой использовалась уязвимость нулевого дня в Chrome. Злоумышленники рассылали персонализированные фишинговые письма сотрудникам СМИ, государственных, образовательных и финансовых учреждений с предложением поучаствовать в научно-экспертном форуме «Примаковские чтения». Если жертва переходила по ссылке и открывала браузер Chrome, устройство сразу заражалось. Никаких других действий от пользователя не требовалось.
В операции «Форумный тролль» использовалось шпионское ПО LeetAgent. Все команды были написаны на языке Leet, что редко встречается во вредоносном ПО для сложных целевых атак. Эксперты Kaspersky GReAT проследили активность LeetAgent до 2022 года и выявили другие атаки той же группы, нацеленные на Россию и Беларусь. Изучая арсенал злоумышленников, они обнаружили ранее неизвестный зловред — и пришли к выводу, что это коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs (ранее Hacking Team). Анализ показал, что в Dante и некоторых инструментах, используемых в операции «Форумный тролль», присутствует похожий код, что указывает на то, что эти инструменты также были разработаны Memento Labs.





