Специалисты Kaspersky GReAT впервые зафиксировали применение шпионского программного обеспечения, разработанного итальянской фирмой Memento Labs (ранее известной как HackingTeam), в реальных кибератаках. Выявить активность вредоносной программы помогло исследование операции «Форумный тролль», направленной против работников российских учреждений. Такие данные предоставили CNews представители «Лаборатории Касперского».
Hacking Team — один из пионеров в создании шпионского ПО. Основанная в 2003 году, компания специализировалась на создании и реализации «легальных» решений для наблюдения. Широкую известность она приобрела благодаря программе Remote Control Systems (RCS), которую применяли государственные структуры разных стран. После взлома в 2015 году в сеть утекло 400 ГБ внутренних данных Hacking Team, а в 2019 году её приобрела InTheCyber Group и переименовала в Memento Labs. Четыре года спустя компания анонсировала новое шпионское ПО Dante. Однако до настоящего момента этот вредоносный инструмент не наблюдался в реальных атаках, а о его функционале было известно крайне мало.
Операция «Форумный тролль» и признаки шпионского ПО. В марте 2025 года «Лаборатория Касперского» выявила сложную целенаправленную кампанию, где эксплуатировалась уязвимость нулевого дня в браузере Chrome. Злоумышленники рассылали персонализированные фишинговые сообщения сотрудникам СМИ, государственных, образовательных и финансовых организаций России, предлагая принять участие в научно-экспертном форуме «Примаковские чтения». Если жертва переходила по ссылке и запускала Chrome, её устройство мгновенно заражалось. От пользователя не требовалось выполнять никаких дополнительных действий.
В рамках операции «Форумный тролль» применялось шпионское ПО LeetAgent. Все команды были написаны на языке Leet, что нетипично для сложных целевых вредоносных программ. Эксперты «Лаборатории Касперского» отследили активность LeetAgent вплоть до 2022 года и обнаружили другие атаки той же группы, нацеленные на организации и частных лиц в России и Беларуси. Изучая инструментарий злоумышленников, они выявили ранее неизвестный вредоносный код — и пришли к заключению, что это коммерческое шпионское ПО Dante, созданное итальянской компанией Memento Labs (бывшей Hacking Team). Анализ продемонстрировал, что в Dante и некоторых инструментах, используемых в операции «Форумный тролль», присутствует сходный код, что свидетельствует об их разработке Memento Labs.
«Разработчики шпионского ПО хорошо знакомы экспертам по кибербезопасности. Однако идентифицировать вредоносные программы и связать их с конкретной группой зачастую сложно, особенно в случае целевых атак. Чтобы определить происхождение Dante, нам пришлось разобрать несколько уровней запутанного кода, отследить явные признаки его применения на протяжении нескольких лет и сопоставить их с потенциальными создателями. Кажется, разработчики не случайно выбрали название Dante — тому, кто пытается проследить его истоки, предстоит непростой путь», — отметил Борис Ларин, ведущий эксперт Kaspersky GReAT.
Для предотвращения выявления Dante применяет особый подход к изучению окружения, чтобы убедиться в возможности безопасного выполнения своих задач.
Первоначально атаки с применением LeetAgent были выявлены системой Kaspersky Symphony XDR.
