Επικίνδυνη εμφάνιση νέου spyware από ομάδα hackers που ήταν χρόνια αδρανείς

Νέες απειλές κάνουν συνεχώς την εμφάνιση τους και αυτό φαίνεται αρκετά διότι hackers προσπαθούν να δημιουργήσουν ακόμη μεγαλύτερα και άτρωτα spyware και malware.

Συγκεκριμένα η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης (GReAT) της Kaspersky αποκάλυψε νέα στοιχεία που συνδέουν τη Memento Labs, τη διάδοχο της HackingTeam, με ένα νέο κύμα επιθέσεων. Η αποκάλυψη έγινε στο πλαίσιο της έρευνας αναφορικά με το ‘’Operation ForumTroll’’, μια εκστρατεία κατασκοπείας τύπου APT (Advanced Persistent Threat) που εκμεταλλεύτηκε μια ευπάθεια zero-day στον Google Chrome, με τα αποτελέσματα να παρουσιάζονται στο Security Analyst Summit 2025 στην Ταϊλάνδη.

Τον Μάρτιο του 2025, η Kaspersky GReAT εντόπισε τo ‘’Operation ForumTroll’’, μια εξελιγμένη εκστρατεία κυβερνοκατασκοπείας που εκμεταλλευόταν τη zero-day ευπάθεια CVE-2025-2783 στον Chrome. Η ομάδα APT πίσω από την επίθεση έστελνε εξατομικευμένα phishing emails, μεταμφιεσμένα ως προσκλήσεις στο φόρουμ Primakov Readings, στοχεύοντας ρωσικά μέσα ενημέρωσης, εκπαιδευτικά και χρηματοοικονομικά ιδρύματα αλλά και κρατικούς οργανισμούς.

Τι διαπίστωσαν οι ερευνητές

Κατά την ανάλυση του ForumTroll, οι ερευνητές διαπίστωσαν ότι οι επιτιθέμενοι χρησιμοποιούσαν ένα spyware με την ονομασία LeetAgent, το οποίο ξεχώριζε λόγω των εντολών του γραμμένων σε leetspeak – ένα σπάνιο χαρακτηριστικό σε malware τύπου APT. Η εις βάθος ανάλυση έδειξε ομοιότητες μεταξύ του toolset του και ενός προηγμένου spyware, που έχει παρατηρηθεί σε παλαιότερες APT εκστρατείες. Όταν διαπιστώθηκε ότι, σε ορισμένες περιπτώσεις, το δεύτερο εκτελούνταν μέσω του LeetAgent ή μοιραζόταν το ίδιο πλαίσιο φόρτωσης (loader framework), οι ερευνητές επιβεβαίωσαν τη σύνδεση μεταξύ των δύο αλλά και μεταξύ των επιθέσεων.

Αν και το δεύτερο spyware χρησιμοποιούσε προηγμένα μέτρα ασφάλειας, όπως το VMProtect, η Kaspersky κατάφερε να ανακτήσει το όνομα του λογισμικού από τον κώδικα και το αναγνώρισε ως Dante. Σύμφωνα με τους ερευνητές, ένα εμπορικό spyware με το ίδιο όνομα διατίθεται από τη Memento Labs, τη διάδοχο της HackingTeam. Επιπλέον, τα πιο πρόσφατα δείγματα του Remote Control System spyware της HackingTeam, που έχουν στη διάθεσή τους οι ερευνητές της Kaspersky GReAT, παρουσιάζουν ομοιότητες με το Dante.

«Παρότι οι προμηθευτές spyware είναι ευρέως γνωστοί, τα προϊόντα τους εξακολουθούν να είναι εξαιρετικά δύσκολο να εντοπιστούν, ιδιαίτερα σε στοχευμένες επιθέσεις όπου η ταυτοποίηση είναι εξαιρετικά απαιτητική. Η ανακάλυψη της προέλευσης του Dante απαίτησε την αποκωδικοποίηση πολλών επιπέδων εξελιγμένου κώδικα, τον εντοπισμό λίγων αλλά διακριτών ψηφιακών χαρακτηριστικών μέσα από χρόνια εξέλιξης του κακόβουλου λογισμικού και τη σύνδεσή τους με μια συγκεκριμένη εταιρική προέλευση. Ίσως γι’ αυτό το ονόμασαν “Dante”, καθώς η αναζήτηση της προέλευσής του αποτελεί μια πραγματική “κόλαση”», δήλωσε ο Boris Larin, κύριος ερευνητής ασφαλείας στην Kaspersky GReAT.

Πως αποφεύγεται η ανίχνευση

Για να αποφύγει την ανίχνευση, το Dante ενσωματώνει έναν μοναδικό τρόπο ανάλυσης του περιβάλλοντός του προτού καθορίσει εάν μπορεί να εκτελέσει με ασφάλεια τις λειτουργίες του.

Οι ερευνητές εντόπισαν την πρώτη χρήση του LeetAgent το 2022 και ανακάλυψαν επιπλέον επιθέσεις της ForumTroll APT εναντίον οργανισμών και ατόμων σε Ρωσία και Λευκορωσία. Η ομάδα ξεχωρίζει για την άριστη γνώση της ρωσικής γλώσσας και των τοπικών ιδιαιτεροτήτων, χαρακτηριστικά που η Kaspersky έχει παρατηρήσει και σε άλλες εκστρατείες που αποδίδονται στην ίδια APT απειλή. Ωστόσο, περιστασιακά λάθη δείχνουν ότι τα ρωσικά δεν είναι η μητρική γλώσσα των επιτιθέμενων.

Η επίθεση που αξιοποιούσε το LeetAgent ανιχνεύθηκε αρχικά από το Kaspersky Next XDR Expert. Οι πλήρεις λεπτομέρειες της έρευνας, καθώς και μελλοντικές ενημερώσεις για τις APT ForumTroll και Dante, είναι διαθέσιμες στους πελάτες της υπηρεσίας APT reporting μέσω του Kaspersky Threat Intelligence Portal.