'Opvolger van HackingTeam betrokken bij reeks gerichte spionageaanvallen'
Memento Labs, de opvolger van HackingTeam, is vermoedelijk betrokken bij een reeks gerichte spionageaanvallen, meldt het Kaspersky Global Research and Analysis Team (GReAT). De aanvallen zijn onderdeel van Operation Forumtroll, een campagne die in maart 2025 is ontdekt en waarbij een tot dan toe onbekende kwetsbaarheid in Google Chrome is uitgebuit.
Door aanvallers is bij Operation ForumTroll een zero-daylek in Chrome (CVE-2025-2783) uitgebuit. Slachtoffers ontvingen gepersonaliseerde phishingmails, vermomd als uitnodigingen voor het Primakov Readings-forum. Met name Russische media, overheidsinstanties, onderwijsinstellingen en financiële organisaties, maar ook entiteiten in Wit-Rusland waren doelwit.
LeetAgent
Tijdens het onderzoek naar de campagne identificeerden onderzoekers de inzet van LeetAgent, spyware die opviel door commando’s geschreven in leetspeak. Leetspeak is een internetschrijfwijze van cijfers die uiterlijke overeenkomst hebben met letters. Verdere analyse toont overeenkomsten tussen deze software en een complexere variant, die in sommige gevallen door LeetAgent werd geactiveerd of dezelfde laadinfrastructuur deelde. De onderzoekers vermoeden dan ook een verband tussen beide malwaretypen en de achterliggende aanvallen.
Hoewel de tweede spyware geavanceerde anti-analysetechnieken gebruikte waaronder VMProtect-versleuteling, vonden onderzoekers de naam Dante in de code. Deze komt overeen met commercieel aanbod van Memento Labs, wat de opvolger is van HackingTeam. Daarnaast vertoonden recente monsters van HackingTeams Remote Control System-spyware gelijkenissen met Dante.
Zwaar geobfusceerde code ontrafelen
Boris Larin, hoofdonderzoeker bij Kaspersky GReAT: "Hoewel de aanwezigheid van spywareleveranciers in de sector bekend is, blijven hun producten in gerichte aanvallen moeilijk traceerbaar. Het blootleggen van Dante vereiste het ontrafelen van zwaar geobfusceerde code, het volgen van zeldzame sporen door jarenlange malware-ontwikkeling en het korrelen daarvan aan een bedrijfslijn. Misschien is dat waarom ze het Dante noemden: het is een helse tocht voor wie de oorsprong probeert te achterhalen."
Dante onderscheidt zich door een unieke methode om zijn omgeving te scannen voordat het actie onderneemt, waarmee detectie wordt ontweken. De eerste sporen van LeetAgent dateren uit 2022, met aanvullende aanvallen gericht op organisaties en individuen in Rusland en Wit-Rusland. De groep valt op door een sterke beheersing van het Russisch en kennis van lokale context, hoewel af en toe taalfouten suggereren dat de aanvallers geen moedertaalsprekers zijn.
De aanval met LeetAgent werd voor het eerst gedetecteerd door Kaspersky Next XDR Expert. Gedetailleerde bevindingen en toekomstige updates over ForumTroll en Dante zijn beschikbaar voor klanten van de APT Intelligence Service via het Kaspersky Threat Intelligence Portal.
Meer over Kaspersky
Over Wouter Hoeffnagel
