L'équipe mondiale de recherche et d'analyse de Kaspersky (GReAT) a découvert des preuves permettant d’établir un lien entre Memento Labs (le successeur de HackingTeam) et une nouvelle vague d'attaques de cyberespionnage. Cette découverte est le résultat d'une enquête sur l'opération ForumTroll, une campagne de menaces persistantes avancées (APT) exploitant une vulnérabilité zero-day de Google Chrome. Les résultats de cette recherche ont été présentés lors du Security Analyst Summit 2025, qui s'est tenu en Thaïlande.
En mars 2025, les chercheurs du GReAT de Kaspersky ont mis au jour l'opération ForumTroll, une campagne sophistiquée de cyberespionnage exploitant une vulnérabilité zero-day de Chrome, CVE-2025-2783. Le groupe APT à l'origine de l'attaque avait émis des e-mails de phishing personnalisés se présentant sous la forme d’invitations au forum Primakov Readings, prenant pour cible des médias russes, des établissements d'enseignement, des institutions financières et des organisations gouvernementales.
En enquêtant sur ForumTroll, les chercheurs ont découvert l'utilisation du logiciel espion LeetAgent, qui se distingue par ses commandes écrites en leet speak, une caractéristique rare pour les malwares APT. Une analyse plus approfondie a révélé des similitudes entre les outils de LeetAgent et un logiciel espion plus avancé étudié par Kaspersky dans d'autres attaques. Après avoir déterminé que, dans certains cas, ce dernier était lancé par LeetAgent, et que les deux partagent un framework de chargement, les chercheurs ont confirmé le lien entre les deux spywares ainsi qu'entre les attaques.
Bien que le second logiciel espion ait eu recours à des techniques d'anti-analyse poussées, comme l'offuscation VMProtect, Kaspersky est parvenu à extraire de son code le nom du programme malveillant : Dante. Les chercheurs ont découvert qu'un logiciel espion commercial du même nom était promu par Memento Labs, le nouveau nom de HackingTeam. De plus, les échantillons les plus récents du logiciel espion Remote Control System de HackingTeam, obtenus par Kaspersky GReAT, présentent des similitudes avec Dante.
« L'existence de fournisseurs de logiciels espions est bien connue, mais leurs produits restent difficiles à identifier, surtout lors d'attaques ciblées où leur détection est particulièrement complexe. Pour découvrir l'origine de Dante, il a fallu décortiquer des couches de code fortement obscurci, retracer quelques empreintes spécifiques à travers des années d’historique d'évolution malware, et les corréler à une filiation d’entreprise. C'est peut-être la raison pour laquelle ils l'ont appelé Dante, car chercher ses origines est un véritable calvaire », a déclaré Boris Larin, chercheur principal en sécurité chez Kaspersky GReAT.
Pour contourner la détection, Dante intègre une méthode unique pour analyser son environnement avant de déterminer s’il peut discrètement se déployer ou non.
Les chercheurs ont pu retracer la première utilisation de LeetAgent en 2022, et ont découvert d'autres attaques de l’APT ForumTroll visant des organisations et des individus en Russie et en Biélorussie. Le groupe se distingue par sa maîtrise du russe et sa connaissance des subtilités linguistiques locales, des traits que Kaspersky a observés dans d'autres campagnes liées au groupe. Cependant, des erreurs occasionnelles suggèrent que les attaquants n'étaient pas des locuteurs natifs.
L'attaque exploitant LeetAgent a été détectée pour la première fois par la solution Kaspersky Next XDR Expert. Les détails complets de cette analyse, ainsi que les futures mises à jour sur ForumTroll et Dante, sont disponibles pour les clients du service de reporting APT, via le portail Kaspersky Threat Intelligence.
Pour plus de détails et d'indicateurs de compromission, consultez l'article sur Securelist.
