{"id":23337,"date":"2025-11-07T17:27:24","date_gmt":"2025-11-07T15:27:24","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23337"},"modified":"2025-11-07T17:29:54","modified_gmt":"2025-11-07T15:29:54","slug":"forumtroll-dante-leetagent","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/forumtroll-dante-leetagent\/23337\/","title":{"rendered":"Le groupe ForumTroll et ses homologues italiens"},"content":{"rendered":"

Nos experts de l\u2019\u00e9quipe mondiale de recherche et d\u2019analyse (GReAT) de Kaspersky ont reconstitu\u00e9 la cha\u00eene d\u2019infection employ\u00e9e dans les attaques men\u00e9es par le groupe APT ForumTroll. Au cours de leur enqu\u00eate, ils ont d\u00e9couvert que les outils utilis\u00e9s par ForumTroll servaient \u00e9galement \u00e0 distribuer le programme malveillant \u00e0 usage commercial Dante. Boris Larin a pr\u00e9sent\u00e9 ces recherches<\/a> en d\u00e9tail lors de la conf\u00e9rence Security Analyst Summit 2025, qui s\u2019est tenue en Tha\u00eflande.<\/p>\n

Qu\u2019est-ce que le groupe APT ForumTroll et comment fonctionne-t-il\u00a0?<\/h2>\n

En mars, nos technologies ont d\u00e9tect\u00e9 une vague d\u2019infections<\/a> d\u2019entreprises russes par un programme malveillant complexe jusqu\u2019alors inconnu. Ces attaques reposaient sur des pages Internet \u00e9ph\u00e9m\u00e8res qui exploitaient la vuln\u00e9rabilit\u00e9 de type zero-day CVE-2025-2783<\/a> de Google Chrome. Les pirates informatiques envoyaient des emails \u00e0 des employ\u00e9s travaillant pour des m\u00e9dias et des institutions gouvernementales, \u00e9ducatives et financi\u00e8res russes, pour les inviter \u00e0 participer au forum scientifique et technique Primakov Readings. C\u2019est la raison pour laquelle cette campagne a re\u00e7u le nom accrocheur de \u00ab\u00a0Forum Troll\u00a0\u00bb et que le groupe derri\u00e8re celle-ci a \u00e9t\u00e9 baptis\u00e9 ForumTroll. Lorsque les utilisateurs cliquaient sur le lien figurant dans l\u2019email, leur appareil \u00e9tait infect\u00e9 par un programme malveillant. Le programme malveillant utilis\u00e9 par les pirates informatiques a \u00e9t\u00e9 baptis\u00e9 LeetAgent, car il recevait des commandes du serveur de contr\u00f4le dans une \u00e9criture Leet<\/a> modifi\u00e9e.<\/p>\n

Apr\u00e8s leur premi\u00e8re publication, les experts du GReAT ont continu\u00e9 \u00e0 enqu\u00eater sur les activit\u00e9s de ForumTroll. Ils ont notamment identifi\u00e9 plusieurs autres attaques men\u00e9es par le m\u00eame groupe contre des organismes et des individus en Russie et en Bi\u00e9lorussie. Par ailleurs, alors qu\u2019ils recherchaient des attaques exploitant LeetAgent, ils ont d\u00e9couvert des cas d\u2019utilisation d\u2019autres programmes malveillants beaucoup plus complexes.<\/p>\n

Qu\u2019est-ce que Dante et quel est son rapport avec HackingTeam\u00a0?<\/h2>\n

Le programme malveillant d\u00e9couvert poss\u00e9dait une structure modulaire, utilisait un chiffrement modulaire avec des cl\u00e9s uniques pour chaque victime, et s\u2019autod\u00e9truisait apr\u00e8s un certain temps si aucune commande n\u2019\u00e9tait re\u00e7ue du serveur de contr\u00f4le. Mais le point le plus int\u00e9ressant est que nos chercheurs sont parvenus \u00e0 identifier ce programme comme \u00e9tant un logiciel espion \u00e0 usage commercial appel\u00e9 Dante, d\u00e9velopp\u00e9 par la soci\u00e9t\u00e9 italienne Memento Labs, anciennement connue sous le nom de HackingTeam.<\/p>\n

HackingTeam \u00e9tait l\u2019un des pionniers des logiciels espions \u00e0 usage commercial. Cependant, en 2015, l\u2019infrastructure m\u00eame de l\u2019entreprise a \u00e9t\u00e9 pirat\u00e9e, et une partie importante de sa documentation interne, y compris le code source de son logiciel espion \u00e0 usage commercial, a \u00e9t\u00e9 publi\u00e9e en ligne. Par la suite, l\u2019entreprise a \u00e9t\u00e9 vendue et rebaptis\u00e9e Memento Labs.<\/p>\n

Pour en savoir plus sur les capacit\u00e9s du programme malveillant Dante et sur la mani\u00e8re dont nos experts ont d\u00e9couvert qu\u2019il s\u2019agissait bien de Dante, consultez l\u2019article paru sur le blog Securelist<\/a>. Vous y trouverez \u00e9galement les indicateurs de compromission associ\u00e9s.<\/p>\n

Comment se prot\u00e9ger<\/h2>\n

D\u2019abord, les attaques utilisant LeetAgent ont \u00e9t\u00e9 d\u00e9tect\u00e9es \u00e0 l\u2019aide de notre solution XDR<\/a>. En outre, les d\u00e9tails de ces recherches, de m\u00eame que les nouvelles informations sur le groupe ForumTroll et le logiciel espion Dante que nous d\u00e9couvrirons \u00e0 l\u2019avenir, seront mis \u00e0 la disposition des abonn\u00e9s \u00e0 notre service de donn\u00e9es sur les menaces APT sur le Portail Threat Intelligence<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nos experts ont identifi\u00e9 des outils utilis\u00e9s \u00e0 la fois par le groupe APT ForumTroll et par les pirates informatiques exploitant le programme malveillant Dante de Memento Labs.<\/p>\n","protected":false},"author":2706,"featured_media":23340,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[498,750,4568],"class_list":{"0":"post-23337","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-apt","11":"tag-great","12":"tag-thesas2025"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/forumtroll-dante-leetagent\/23337\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/forumtroll-dante-leetagent\/12959\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/forumtroll-dante-leetagent\/28696\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/forumtroll-dante-leetagent\/31586\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/forumtroll-dante-leetagent\/30240\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/forumtroll-dante-leetagent\/40800\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/forumtroll-dante-leetagent\/13948\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/forumtroll-dante-leetagent\/54670\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/forumtroll-dante-leetagent\/32869\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/forumtroll-dante-leetagent\/29892\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23337","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23337"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23337\/revisions"}],"predecessor-version":[{"id":23342,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23337\/revisions\/23342"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23340"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23337"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23337"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23337"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}