'Opvolger van HackingTeam betrokken bij reeks gerichte spionageaanvallen'

In dit artikel:

Kaspersky’s GReAT-team rapporteert dat Memento Labs — de commerciële opvolger van HackingTeam — waarschijnlijk betrokken is bij een reeks gerichte spionageaanvallen die in maart 2025 onder de noemer Operation ForumTroll werden ontdekt. De campagne misbruikte een tot dan onbekende Chrome-zero-day (CVE-2025-2783). Doelwit waren vooral Russische media, overheidsinstanties, onderwijs- en financiële organisaties en ook entiteiten in Wit‑Rusland; slachtoffers kregen gepersonaliseerde phishingmailtjes die uitnodigden voor het Primakov Readings-forum.

Onderzoekers identificeerden LeetAgent, een spywarefamilie met commando’s in leetspeak, en een tweede, technisch geavanceerdere backdoor die soms door LeetAgent werd geactiveerd of dezelfde laadinfrastructuur gebruikte. Die tweede spyware, intern aangeduid als Dante, vertoonde sterke anti-analysetechnieken (onder meer VMProtect-encryptie) en een ongewone methode om de omgeving te scannen alvorens actie te ondernemen, wat detectie bemoeilijkt. Kaspersky vond de naam Dante in de code en ziet overeenkomsten met eerdere Remote Control System-monsters van HackingTeam, wat wijst op een mogelijk verband met Memento Labs.

De eerste aanwijzingen voor LeetAgent gaan terug tot 2022; de campagne toont kennis van lokale Russische context en taal, al duiden taalfouten soms op niet‑moedertaalsprekers. De initiële detectie kwam via Kaspersky Next XDR Expert; uitgebreide technische analyses en updates zijn beschikbaar voor klanten van de APT Intelligence Service via het Kaspersky Threat Intelligence Portal.