Kaspersky a révélé, par le biais de son équipe mondiale de recherche et d’analyse (GReAT), un lien direct entre la société Memento Labs et des attaques de cybersurveillance avancées, une découverte qui illustre la complexité des menaces cybernétiques modernes. Ces résultats ont été annoncés lors du Sommet des analystes en cybersécurité 2025 en Thaïlande, suite à une enquête approfondie sur une opération connue sous le nom de ForumTroll, une campagne de menaces avancées (APT) ayant exploité une vulnérabilité inconnue auparavant dans le navigateur Google Chrome.
En mars 2025, les chercheurs de GReAT ont identifié les contours de la campagne ForumTroll, qui visait des médias russes, des institutions éducatives et des organismes financiers, ainsi qu’un certain nombre d’entités gouvernementales, par le biais de messages de phishing sous forme d’invitations à assister aux Primakov Readings. Cette campagne exploitait la vulnérabilité critique du navigateur Chrome registrée sous le numéro CVE-2025-2783.
Lors de l’analyse technique, l’équipe a découvert l’utilisation d’un logiciel espion nommé LeetAgent, qui s’appuie sur un style de codage connu sous le nom de « leet speak », un procédé peu courant dans les logiciels de surveillance avancés. L’étude a montré qu’il existait des recoupements techniques entre LeetAgent et un logiciel espion commercial développé par Memento Labs, héritier de HackingTeam, ce qui confirme le lien direct entre les outils utilisés dans les attaques et leur source commerciale.
Boris Larin, chercheur principal au sein de l’équipe GReAT, a affirmé que la recherche de l’origine du logiciel Dante nécessitait le déchiffrement de multiples couches de code complexe et le suivi d’indicateurs techniques précis sur plusieurs années, ajoutant : « Peut-être que c’est pourquoi le nom Dante a été choisi, car retracer ses origines s’apparente à un véritable enfer. »
Le logiciel Dante se distingue par son approche unique de camouflage, analysant l’environnement du système cible avant d’exécuter son code de manière furtive, afin d’éviter les systèmes de détection et d’analyse de la sécurité. Les enquêtes ont révélé que LeetAgent avait fait sa première apparition en 2022, avec des attaques ultérieures attribuées au groupe ForumTroll ciblant la Russie et la Biélorussie, utilisant un russe précis avec quelques erreurs mineures qui laissaient à penser que les exécutants de ces attaques n’étaient pas des locuteurs natifs.
La plateforme Kaspersky Next XDR Expert a contribué à la détection de la première attaque, tandis que les clients abonnés au service de rapport sur les menaces avancées peuvent consulter l’analyse complète et les mises à jour futures via le portail Kaspersky Threat Intelligence.
