Эксперты из «Лаборатории Касперского» в ходе нового исследования обнаружили взаимосвязь между кампанией ForumTroll и работой итальянской фирмы Memento Labs, создающей шпионские цифровые решения. Злоумышленники, атаковавшие структуры в России и Беларуси, применили неисправленную уязвимость в веб-обозревателе Google Chrome, чтобы внедрить на устройства вредоносный код, имеющий общие черты с инструментарием печально известной Hacking Team.
Как сообщает TechCrunch, итальянский производитель шпионских программ напрямую причастен к атакам через уязвимость нулевого дня в Google Chrome, направленным на пользователей из России и Беларуси. Изучение прошлых инцидентов показало аналогичные кибернападения на субъекты из стран Содружества Независимых Государств, что может свидетельствовать о широком охвате данного цифрового инструмента.
Свежее расследование, проведённое «Лабораторией Касперского», подтвердило связь между операцией ForumTroll и деятельностью итальянской IT-компании Memento Labs, занимающейся производством шпионских технологических решений. Направленная на российские и белорусские организации кампания использовала непатченную уязвимость в браузере Google Chrome для распространения вредоносного обеспечения, генетически восходящего к скандальной Hacking Team.
Кампания ForumTroll была впервые обнаружена в начале 2025 года и детально описана специалистами в марте. Под удар попали представители медиасферы, научно-образовательных учреждений, а также государственные и финансовые организации. Жертвам рассылались электронные письма с приглашениями на форум «Примаковские чтения», содержащие опасные ссылки. Для инициирования процесса заражения достаточно было перейти по такой ссылке в любом браузере на движке Chromium.
Chrome — интернет-браузер от компании Google, созданный на основе открытого проекта Chromium и использующий движок Blink. В отчёте аналитиков отмечается, что была задействована уязвимость CVE-2025-2783 — ранее неизвестный изъян в Chrome, позволяющий обойти защитные механизмы и внедрить шпионский код.
Техническая экспертиза «Лаборатории Касперского» продемонстрировала, что вредоносный инструмент, применённый в ForumTroll, имеет более продолжительную историю. Его следы обнаруживаются как минимум с 2022 года, а сама программная платформа опознана как комплекс Dante, разработанный компанией Memento Labs.
Компания Memento Labs возникла на базе активов и технологических наработок Hacking Team — миланской фирмы, прославившейся поставками шпионских программ государственным структурам. В 2015 году Hacking Team столкнулась с масштабной утечкой информации, обнажившей подробности взаимодействия с органами безопасности и авторитарными правительствами. После кризиса бренд был приобретен консорциумом InTheCyber Group и подвергнут структурным преобразованиям.
Обновленная организация под именем Memento Labs продолжила создавать продукты для цифрового наблюдения. Официальный анонс компании состоялся в 2019 году, а к 2023-му прошла приватная презентация нового ИТ-продукта Dante. Открытых данных о его возможностях не публиковалось, однако специалисты по кибербезопасности фиксируют активное использование этой технологии в операциях по слежению.
Согласно отчетам «Лаборатории Касперского», вредоносные программы, ассоциируемые с Dante, выявлены не только в рамках операции ForumTroll. Изучение предыдущих киберинцидентов обнаружило схожие атаки на российские и белорусские организации, а также структуры в других странах СНГ, что демонстрирует широкий географический охват применения данного ИТ-инструмента.
30 октября 2025 года эксперты «Информзащиты» установили, что в 80% кибератак злоумышленники осуществляют сбор и несанкционированное извлечение данных. Как сообщал CNews, анализ ИТ-инцидентов продемонстрировал, что практически каждое успешное проникновение сопровождается попытками похитить или зашифровать корпоративную информацию. Даже если изначальной целью хакеров является вымогательство или дестабилизация работы ИТ-инфраструктуры, сбор данных превратился для них в обязательный этап атаки, повышающий потенциальную прибыль и наносимый ущерб.
Специалисты подчеркивают, что к 2025 году данные стали универсальным товаром на теневом рынке — любая информация, полученная в результате взлома, может быть monetized прямо или опосредованно. Кроме того, массовая автоматизация и появление готовых ИТ-решений — от похитителей информации до облачных сканеров — сделали сбор данных доступным даже для недостаточно опытных злоумышленников.
Согласно исследованию, только в 37% атак кража информации является первостепенной задачей, в 33% случаев мотивация связана с требованиями выкупа, а в отдельных ситуациях речь идет о промышленном или государственном шпионаже. Эти показатели свидетельствуют, что подавляющее большинство успешных вторжений в конечном счете приводит к утрате контроля над данными — вне зависимости от первоначальных намерений атакующих.
Согласно исследованию «Информзащиты», в 2025 году производственный сектор подвергается наибольшему числу кибератак (26%), за ним следуют финансовая сфера (18%), медицина (15%), государственные и научно-образовательные учреждения (по 10%), а также розничная торговля (9%). Повышенная уязвимость этих отраслей объясняется значительными объёмами чувствительных данных и глубокой интеграцией цифровых систем в их операционную деятельность.
