APT
Nossos especialistas da Kaspersky Global Research and Analysis Team (GReAT) reconstruíram a cadeia de infecção usada em ataques pelo grupo de APT ForumTroll. Durante a investigação, eles descobriram que as ferramentas usadas pelo ForumTroll também foram usadas para distribuir o malware comercial Dante. Boris Larin fez uma apresentação detalhada sobre essa pesquisa na conferência Security Analyst Summit 2025 na Tailândia.
O que é o APT ForumTroll e como ele funciona?
Em março, nossas tecnologias detectaram uma onda de infecções de empresas russas com malwares sofisticados anteriormente desconhecidos. Os ataques usaram páginas da Web de curta duração que exploraram a vulnerabilidade de dia zero CVE-2025-2783 no Google Chrome. Os atacantes enviaram e-mails para funcionários da mídia, do governo, e de instituições educacionais e financeiras na Rússia, convidando-os a participar do fórum científico e de especialistas Primakov Readings, razão pela qual a campanha recebeu o chamativo nome de “Forum Troll” e o grupo responsável foi nomeado ForumTroll. Ao clicar no link no e-mail, o dispositivo era infectado com o malware. O malware usado pelos atacantes foi denominado LeetAgent porque recebia comandos do servidor de controle em grafias modificadas do sistema Leet.
Após a publicação inicial, os especialistas da GReAT continuaram a investigar a atividade do ForumTroll. Em particular, eles encontraram vários outros ataques do mesmo grupo contra organizações e indivíduos na Rússia e na Bielorrússia. Além disso, ao procurar ataques que usaram o LeetAgent, eles descobriram casos de outro malware muito mais sofisticado sendo usado.
O que é o Dante e o que o HackingTeam tem a ver com ele?
O malware encontrado tinha uma estrutura modular, usava criptografia de módulo com chaves exclusivas para cada vítima e se autodestruía após um determinado período se nenhum comando do servidor de controle fosse recebido. Mas o mais interessante de tudo, nossos pesquisadores conseguiram identificá-lo como um spyware comercial chamado Dante, desenvolvido pela empresa italiana Memento Labs, anteriormente conhecida como Hacking Team.
O HackingTeam foi um dos pioneiros do spyware comercial. Mas em 2015, a infraestrutura da própria empresa foi invadida e uma parte significativa de sua documentação interna, incluindo o código-fonte de seu spyware comercial, foi publicada on-line. Depois disso, a empresa foi vendida e renomeada para Memento Labs.
Na postagem do blog Securelist, você pode ler mais sobre o que o malware Dante pode fazer e como nossos especialistas descobriram que era realmente o Dante. Você também pode encontrar lá os indicadores de comprometimento correspondentes.
Como se proteger
Inicialmente, os ataques com LeetAgent foram detectados por nossa Solução XDR. Além disso, os detalhes da pesquisa, bem como as informações sobre o grupo ForumTroll e o spyware Dante que descobriremos no futuro, estarão disponíveis para assinantes de nosso serviço de dados de ameaças APT no Portal de inteligência de ameaças.
Dicas