Специалисты нашего международного исследовательского центра (Kaspersky Global Research and Analysis Team, GReAT) восстановили схему распространения вредоносного кода, используемую кибергруппой ForumTroll. Во время анализа они установили, что инструменты злоумышленников также применялись для распространения платного шпионского ПО Dante. Детали этого исследования Борис Ларин представил в рамках форума Security Analyst Summit 2025 в Таиланде.
Кто стоит за ForumTroll и их методы работы
Весной этого года наши системы защиты зафиксировали массированную атаку на российские организации с использованием нового сложного вредоноса. Злоумышленники создавали временные интернет-страницы, использующие уязвимость CVE-2025-2783 в браузере Google Chrome (уязвимость нулевого дня). Целевые фишинговые письма рассылались сотрудникам медиа, государственных структур, учебных заведений и финансовых организаций под видом приглашения на экспертный форум «Примаковские чтения», что дало название всей операции — «Форумный тролль», а связанной с ней группе — ForumToll. Переход по ссылке из письма приводил к заражению устройства. Вредоносная программа получила имя LeetAgent из-за использования для управления зараженными системами языка Leet.
После первоначального разоблачения эксперты GReAT продолжили изучать деятельность этой группы. Были выявлены дополнительные атаки на юридические и физические лица в России и Беларуси. Анализ случаев применения LeetAgent позволил обнаружить образцы более сложного вредоносного программного обеспечения.
Особенности Dante и связь со взломом HackingTeam
Обнаруженная вредоносная программа обладает модульной архитектурой, шифрует компоненты уникальными ключами для каждой жертвы и способна к самоуничтожению при длительном отсутствии команд с сервера управления. Наиболее важным открытием стала идентификация этого ПО как коммерческого шпионского решения Dante, созданного итальянской компанией Memento Labs (ранее известной как HackingTeam).
HackingTeam являлась одним из первых разработчиков коммерческих шпионских систем. Однако в 2015 году инфраструктура компании была скомпрометирована, а значительная часть внутренних документов, включая исходные коды, оказалась в открытом доступе. Впоследствии организация сменила владельца и получила новое название — Memento Labs.
Технические характеристики Dante и доказательства идентификации этого ПО детально описаны в нашем блоге Securelist. Там же доступны индикаторы компрометации для самостоятельной проверки систем.
Рекомендации по защите
Первоначальное выявление атак с LeetAgent стало возможным благодаря нашему XDR-решению. Дополнительные данные об исследовании, включая новые сведения о группе ForumTroll и шпионской платформе Dante, будут регулярно публиковаться для подписчиков сервиса Threat Intelligence Portal, предоставляющего актуальные данные об APT-угрозах.