Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), faaliyetlerini HackingTeam’den devraldığı bilinen Memento Labs’in yeni bir siber casusluk dalgasıyla bağlantılı olduğuna dair kanıtlar ortaya koydu. Söz konusu bulgular, Google Chrome’daki bir sıfırıncı gün güvenlik açığını istismar eden gelişmiş kalıcı tehdit (APT) kampanyası Operation ForumTroll’un incelenmesi sırasında elde edildi. Araştırmanın sonuçları, 26–29 Ekim tarihleri arasında Tayland’da düzenlenen Security Analyst Summit etkinliğinde kamuoyuyla paylaşıldı.
Kaspersky GReAT, Mart 2025’te Operation ForumTroll adı verilen gelişmiş bir siber casusluk kampanyasını ortaya çıkardı. Bu kampanya, CVE-2025-2783 olarak kayda geçen bir Chrome sıfırıncı gün açığını hedef alıyordu. Saldırıdan sorumlu APT grubu, Primakov Readings forumuna davet izlenimi veren kişiselleştirilmiş oltalama e-postaları aracılığıyla Rusya’daki medya kuruluşlarını, eğitim kurumlarını ve kamu kurumlarını hedef aldı.
ForumTroll’ü araştıran uzmanlar, saldırganların leetspeak (internet argosu) ile yazılmış komutları nedeniyle APT zararlı yazılımlarında nadir görülen bir özellik olan LeetAgent adlı bir casus yazılım kullandığını tespit etti. Daha derinlemesine yapılan analizler, bu yazılım seti ile Kaspersky GReAT’ın diğer saldırılarda gözlemlediği daha gelişmiş bir casus yazılım arasında benzerlikler olduğunu ortaya koydu. Bazı durumlarda bu gelişmiş yazılımın LeetAgent tarafından başlatıldığının veya bir yükleyici çerçevesini paylaştıklarının belirlenmesinin ardından, araştırmacılar iki casus yazılım ve dolayısıyla saldırılar arasındaki bağlantıyı doğruladı.
Her ne kadar diğer casus yazılım VMProtect tabanlı gelişmiş analiz karşıtı teknikler kullanıyor olsa da Kaspersky uzmanları zararlının iç kodunda yer alan adını tespit etmeyi başardı: Dante. Araştırmacılar, aynı isimde ticari bir casus yazılımın Memento Labs —yani yeniden markalanmış HackingTeam— tarafından pazarlanan bir ürün olduğunu keşfetti. Ayrıca Kaspersky GReAT’in eline geçen HackingTeam’in Remote Control System (RCS) casus yazılımının son sürümleriyle Dante arasında da önemli yapısal benzerlikler bulundu.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Boris Larin, bulgulara ilişkin şunları söyledi:
“Casus yazılım tedarikçilerinin varlığı sektörde bilinen bir gerçek olsa da, ürünlerini tespit etmek özellikle hedefli saldırılarda son derece zordur. Dante’nin kökenini ortaya çıkarmak; yoğun biçimde gizlenmiş kod katmanlarını çözmeyi, yıllara yayılan zararlı yazılım evrimindeki nadir izleri takip etmeyi ve bunları kurumsal bağlantılarla ilişkilendirmeyi gerektirdi. Belki de adını bu yüzden Dante koydular – kökenine ulaşmaya çalışan herkes için tam anlamıyla cehennem gibi bir yolculuk.”
Araştırmacılar, LeetAgent’ın ilk kullanımını 2022 yılına kadar takip etti ve ForumTroll APT grubunun Rusya ve Belarus’taki kurum ve kişilere yönelik ek saldırılarını da keşfetti. Grup, güçlü Rusça bilgisi ve yerel ayrıntılara hâkimiyeti ile öne çıkıyor; Kaspersky bu özellikleri söz konusu APT tehdidiyle bağlantılı diğer kampanyalarda da gözlemledi. Ancak ara sıra yapılan hatalar, saldırganların ana dilinin Rusça olmadığını düşündürüyor.
