{"id":24444,"date":"2025-11-17T09:00:40","date_gmt":"2025-11-17T12:00:40","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24444"},"modified":"2025-11-12T15:34:55","modified_gmt":"2025-11-12T18:34:55","slug":"forumtroll-dante-leetagent","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/forumtroll-dante-leetagent\/24444\/","title":{"rendered":"O ForumTroll e seus colegas italianos"},"content":{"rendered":"

Nossos especialistas da Kaspersky Global Research and Analysis Team (GReAT) reconstru\u00edram a cadeia de infec\u00e7\u00e3o usada em ataques pelo grupo de APT ForumTroll. Durante a investiga\u00e7\u00e3o, eles descobriram que as ferramentas usadas pelo ForumTroll tamb\u00e9m foram usadas para distribuir o malware comercial Dante. Boris Larin fez uma apresenta\u00e7\u00e3o detalhada sobre essa pesquisa<\/a> na confer\u00eancia Security Analyst Summit 2025 na Tail\u00e2ndia.<\/p>\n

O que \u00e9 o APT ForumTroll e como ele funciona?<\/h2>\n

Em mar\u00e7o, nossas tecnologias detectaram uma onda de infec\u00e7\u00f5es<\/a> de empresas russas com malwares sofisticados anteriormente desconhecidos. Os ataques usaram p\u00e1ginas da Web de curta dura\u00e7\u00e3o que exploraram a vulnerabilidade de dia zero CVE-2025-2783<\/a> no Google Chrome. Os atacantes enviaram e-mails para funcion\u00e1rios da m\u00eddia, do governo, e de institui\u00e7\u00f5es educacionais e financeiras na R\u00fassia, convidando-os a participar do f\u00f3rum cient\u00edfico e de especialistas Primakov Readings, raz\u00e3o pela qual a campanha recebeu o chamativo nome de \u201cForum Troll\u201d e o grupo respons\u00e1vel foi nomeado ForumTroll. Ao clicar no link no e-mail, o dispositivo era infectado com o malware. O malware usado pelos atacantes foi denominado LeetAgent porque recebia comandos do servidor de controle em grafias modificadas do sistema Leet<\/a>.<\/p>\n

Ap\u00f3s a publica\u00e7\u00e3o inicial, os especialistas da GReAT continuaram a investigar a atividade do ForumTroll. Em particular, eles encontraram v\u00e1rios outros ataques do mesmo grupo contra organiza\u00e7\u00f5es e indiv\u00edduos na R\u00fassia e na Bielorr\u00fassia. Al\u00e9m disso, ao procurar ataques que usaram o LeetAgent, eles descobriram casos de outro malware muito mais sofisticado sendo usado.<\/p>\n

O que \u00e9 o Dante e o que o HackingTeam tem a ver com ele?<\/h2>\n

O malware encontrado tinha uma estrutura modular, usava criptografia de m\u00f3dulo com chaves exclusivas para cada v\u00edtima e se autodestru\u00eda ap\u00f3s um determinado per\u00edodo se nenhum comando do servidor de controle fosse recebido. Mas o mais interessante de tudo, nossos pesquisadores conseguiram identific\u00e1-lo como um spyware comercial chamado Dante, desenvolvido pela empresa italiana Memento Labs, anteriormente conhecida como Hacking Team.<\/p>\n

O HackingTeam foi um dos pioneiros do spyware comercial. Mas em 2015, a infraestrutura da pr\u00f3pria empresa foi invadida e uma parte significativa de sua documenta\u00e7\u00e3o interna, incluindo o c\u00f3digo-fonte de seu spyware comercial, foi publicada on-line. Depois disso, a empresa foi vendida e renomeada para Memento Labs.<\/p>\n

Na postagem do blog Securelist<\/a>, voc\u00ea pode ler mais sobre o que o malware Dante pode fazer e como nossos especialistas descobriram que era realmente o Dante. Voc\u00ea tamb\u00e9m pode encontrar l\u00e1 os indicadores de comprometimento correspondentes.<\/p>\n

Como se proteger<\/h2>\n

Inicialmente, os ataques com LeetAgent foram detectados por nossa Solu\u00e7\u00e3o XDR<\/a>. Al\u00e9m disso, os detalhes da pesquisa, bem como as informa\u00e7\u00f5es sobre o grupo ForumTroll e o spyware Dante que descobriremos no futuro, estar\u00e3o dispon\u00edveis para assinantes de nosso servi\u00e7o de dados de amea\u00e7as APT no Portal de intelig\u00eancia de amea\u00e7as<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nossos especialistas encontraram ferramentas usadas em comum pelo grupo de APT ForumTroll e por atacantes que empregam o malware Dante da Memento Labs.<\/p>\n","protected":false},"author":2706,"featured_media":24448,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[71,415,3393],"class_list":{"0":"post-24444","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-great","11":"tag-thesas2025"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/forumtroll-dante-leetagent\/24444\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/forumtroll-dante-leetagent\/12959\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/forumtroll-dante-leetagent\/28696\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/forumtroll-dante-leetagent\/31586\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/forumtroll-dante-leetagent\/30240\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/forumtroll-dante-leetagent\/40800\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/forumtroll-dante-leetagent\/13948\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/forumtroll-dante-leetagent\/54670\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/forumtroll-dante-leetagent\/23337\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/forumtroll-dante-leetagent\/32869\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/forumtroll-dante-leetagent\/29892\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24444","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24444"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24444\/revisions"}],"predecessor-version":[{"id":24446,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24444\/revisions\/24446"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24448"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24444"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24444"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24444"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}