APT
Nos experts de l’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky ont reconstitué la chaîne d’infection employée dans les attaques menées par le groupe APT ForumTroll. Au cours de leur enquête, ils ont découvert que les outils utilisés par ForumTroll servaient également à distribuer le programme malveillant à usage commercial Dante. Boris Larin a présenté ces recherches en détail lors de la conférence Security Analyst Summit 2025, qui s’est tenue en Thaïlande.
Qu’est-ce que le groupe APT ForumTroll et comment fonctionne-t-il ?
En mars, nos technologies ont détecté une vague d’infections d’entreprises russes par un programme malveillant complexe jusqu’alors inconnu. Ces attaques reposaient sur des pages Internet éphémères qui exploitaient la vulnérabilité de type zero-day CVE-2025-2783 de Google Chrome. Les pirates informatiques envoyaient des emails à des employés travaillant pour des médias et des institutions gouvernementales, éducatives et financières russes, pour les inviter à participer au forum scientifique et technique Primakov Readings. C’est la raison pour laquelle cette campagne a reçu le nom accrocheur de « Forum Troll » et que le groupe derrière celle-ci a été baptisé ForumTroll. Lorsque les utilisateurs cliquaient sur le lien figurant dans l’email, leur appareil était infecté par un programme malveillant. Le programme malveillant utilisé par les pirates informatiques a été baptisé LeetAgent, car il recevait des commandes du serveur de contrôle dans une écriture Leet modifiée.
Après leur première publication, les experts du GReAT ont continué à enquêter sur les activités de ForumTroll. Ils ont notamment identifié plusieurs autres attaques menées par le même groupe contre des organismes et des individus en Russie et en Biélorussie. Par ailleurs, alors qu’ils recherchaient des attaques exploitant LeetAgent, ils ont découvert des cas d’utilisation d’autres programmes malveillants beaucoup plus complexes.
Qu’est-ce que Dante et quel est son rapport avec HackingTeam ?
Le programme malveillant découvert possédait une structure modulaire, utilisait un chiffrement modulaire avec des clés uniques pour chaque victime, et s’autodétruisait après un certain temps si aucune commande n’était reçue du serveur de contrôle. Mais le point le plus intéressant est que nos chercheurs sont parvenus à identifier ce programme comme étant un logiciel espion à usage commercial appelé Dante, développé par la société italienne Memento Labs, anciennement connue sous le nom de HackingTeam.
HackingTeam était l’un des pionniers des logiciels espions à usage commercial. Cependant, en 2015, l’infrastructure même de l’entreprise a été piratée, et une partie importante de sa documentation interne, y compris le code source de son logiciel espion à usage commercial, a été publiée en ligne. Par la suite, l’entreprise a été vendue et rebaptisée Memento Labs.
Pour en savoir plus sur les capacités du programme malveillant Dante et sur la manière dont nos experts ont découvert qu’il s’agissait bien de Dante, consultez l’article paru sur le blog Securelist. Vous y trouverez également les indicateurs de compromission associés.
Comment se protéger
D’abord, les attaques utilisant LeetAgent ont été détectées à l’aide de notre solution XDR. En outre, les détails de ces recherches, de même que les nouvelles informations sur le groupe ForumTroll et le logiciel espion Dante que nous découvrirons à l’avenir, seront mis à la disposition des abonnés à notre service de données sur les menaces APT sur le Portail Threat Intelligence.
Conseils