Neue Hacking-Team-Spyware entdeckt
Das Global Research & Analysis Team (GReAT) von Kaspersky hat neue Hinweise entdeckt, die den Hacking-Team-Nachfolger Memento Labs mit einer aktuellen Welle von Cyberspionage-Angriffen in Verbindung bringen.
Ausgangspunkt ist die Untersuchung der zielgerichteten Kampagne Operation ForumTroll, in der ein Chrome-Zero-Day (CVE-2025-2783) ausgenutzt und maßgeschneiderte Phishing-Einladungen zum Forum Primakov Readings versendet wurden. Betroffen sind Medienhäuser, Bildungseinrichtungen sowie Finanz- und Regierungsorganisationen. Die Ergebnisse wurden auf dem Security Analyst Summit 2025 in Thailand präsentiert.
Im März 2025 veröffentlichten die Kaspersky-Experten des Global Research & Analysis Teams Informationen zur Kampagne Operation ForumTroll – eine ausgefeilte Cyberspionage-Kampagne, die eine bis dahin unbekannte Zero-Day-Schwachstelle in Chrome (CVE-2025-2783) ausnutzt. Die dahinterstehende APT-Gruppe versandte personalisierte Phishing-E-Mails, die als Einladungen zu den Primakov Readings getarnt waren, und nahm dabei zielgerichtet Medienhäuser in Russland, Bildungseinrichtungen sowie Finanz- und Regierungsorganisationen ins Visier.
Im Zuge der Analyse von ForumTroll stießen die Kaspersky-Experten auf die Spionage-Malware LeetAgent, die durch in Leetspeak verfasste Kommandos auffiel – eine Seltenheit in APT-Malware. Weitere Untersuchungen zeigten Ähnlichkeiten mit einer fortgeschrittenen Spyware, die in anderen Angriffen beobachtet wurde. In mehreren Fällen wurde LeetAgend geladen oder beide nutzten dasselbe Loader-Framework – ein Indiz für Zusammenhang und geteilte Infrastruktur.
Auch wenn die zweite Spyware stark gegen Analyse abgesichert ist, unter anderem durch VMProtect-Verschleierung, ließ sich der interne Name aus dem Code extrahieren: „Dante“. Ein kommerzielles Spyware-Produkt dieses Namens wurde bereits von Memento Labs – ehemals Hacking Team – beworben. Zudem zeigen die jüngsten bekannten Samples des Remote Control System Spyware von Hacking Team deutliche Ähnlichkeiten zu „Dante“.
„Die Existenz kommerzieller Spyware-Anbieter ist bekannt, ihre Produkte bleiben jedoch schwer fassbar – insbesondere in zielgerichteten Angriffen, in denen eine eindeutige Identifizierung äußerst schwierig ist“, so Boris Larin, Principal Security Researcher im Global Research & Analysis Team von Kaspersky. „Um die Herkunft von ‚Dante‘ zu bestätigen, mussten wir uns durch stark verschleierten Code arbeiten, wenige, aber charakteristische Fingerabdrücke über Jahre hinweg verfolgen und sie einer klaren Unternehmenslinie zuordnen – ein Höllenritt, ganz im Sinne des Namens.“
Um eine Erkennung zu vermeiden, verwendet Dante eine bislang einzigartige Methode zur Analyse seiner Umgebung, bevor festgestellt wird, ob es seine Funktionen sicher ausführen kann.
Kaspersky konnte die erste Nutzung von LeetAgent ins Jahr 2022 zurückverfolgen sowie weitere Angriffe des ForumTroll-Akteurs identifizieren – unter anderem gegen Organisationen und Einzelpersonen in Russland und Belarus. Die Gruppe fällt durch sehr gute Russischkenntnisse und lokales Kontextwissen auf, wobei gelegentliche Fehler darauf hindeuten, dass es sich vermutlich nicht um Muttersprachler handelt.
