El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha descubierto evidencias que vinculan al sucesor de HackingTeam, Memento Labs, con una nueva oleada de ciberataques. El hallazgo surge de una investigación sobre la Operación ForumTroll, una campaña de Amenaza Persistente Avanzada (APT) que explotaba una vulnerabilidad zero-day en Google Chrome. La investigación se presentó durante el Security Analyst Summit 2025, celebrado en Tailandia.

En marzo de 2025, Kaspersky GReAT reveló la Operación ForumTroll, una campaña de ciberespionaje altamente sofisticada que aprovechaba una vulnerabilidad zero-day en Chrome, CVE-2025-2783. El grupo APT detrás del ciberataque enviaba correos de phishing personalizados, disfrazados de invitaciones al foro Primakov Readings, dirigidos a medios de comunicación rusos, organismos gubernamentales, instituciones educativas y entidades financieras.

Durante la investigación, los analistas de Kaspersky descubrieron que los ciberdelincuentes utilizaban un spyware llamado LeetAgent, que destacaba por emplear comandos escritos en leetspeak, un rasgo poco común en el malware APT. Un análisis más profundo reveló similitudes entre su conjunto de herramientas y un spyware más avanzado que Kaspersky GReAT había observado en otros ciberataques. Al determinar que, en algunos casos, este segundo spyware era lanzado por LeetAgent o compartía el mismo cargador, los investigadores confirmaron la relación entre ambos, así como entre las campañas.

Aunque el segundo spyware utilizaba técnicas sofisticadas para evitar ser analizado, como camuflar su código con herramientas como VMProtect, Kaspersky logró recuperar el nombre del malware a partir de su código y lo identificó como Dante. Los investigadores descubrieron que un spyware comercial con ese mismo nombre estaba siendo promocionado por Memento Labs, la empresa sucesora de HackingTeam. Además, las muestras más recientes del software espía Remote Control System de HackingTeam, analizadas por GReAT, compartían similitudes con Dante.

“Aunque en el sector ya se conoce la existencia de proveedores de spyware, sus productos siguen siendo extremadamente difíciles de rastrear, especialmente en ciberataques dirigidos donde su identificación es todo un reto. Descubrir el origen de Dante requirió desentrañar múltiples capas de código ofuscado, seguir unas pocas huellas raras a lo largo de años de evolución del malware y conectarlas con su linaje corporativo. Tal vez por eso lo llamaron Dante, porque rastrear sus raíces es, literalmente, un viaje al infierno”, afirma Boris Larin, investigador principal de seguridad en Kaspersky GReAT.

Para evitar ser detectado, Dante emplea un sistema único para analizar el entorno y decidir si es seguro ejecutar sus funciones.

Los investigadores rastrearon el uso inicial de LeetAgent hasta 2022, y hallaron nuevos ciberataques del APT ForumTroll dirigidos a organizaciones e individuos en Rusia y Bielorrusia. Este grupo destaca por su dominio del idioma ruso y su comprensión de los matices locales, aunque algunos errores ocasionales indican que no son hablantes nativos.

El ciberataque que involucró a LeetAgent fue detectado inicialmente por Kaspersky Next XDR Expert. Los detalles completos de esta investigación, así como futuras actualizaciones sobre el APT ForumTroll y Dante, están disponibles para los clientes del servicio de informes APT a través del Kaspersky Threat Intelligence Portal.