توصل فريق البحث والتحليل العالمي في كاسبرسكي (GReAT) إلى أدلة تشير إلى وجود صلة بين مجموعة “”Memento Labs، المعروفة سابقًا باسم”HackingTeam” ، وموجة جديدة من هجمات التجسس الإلكتروني. جاء هذا الاكتشاف بعد تحقيقات أجراها الفريق في إطار حملة “Operation “ForumTroll الخاصة بالتهديدات المتقدمة المستمر (APT) ، والتي استغلت ثغرة أمنية في متصفح جوجل كروم. وقد عرضت كاسبرسكي نتائج هذا البحث خلال قمة محللي الأمن 2025، التي تعقد فعالياتها في تايلاند بين 26 و29 أكتوبر.
في مارس عام 2025، كشف فريق البحث والتحليل العالمي في كاسبرسكي عن حملة التجسس الإلكتروني المتطورةOperation ForumTroll ، التي استغلت ثغرة أمنية في متصفح جوجل كروم تُعرف بالرمز .CVE-2025-2783 ونفّذت الهجوم مجموعة تهديدات متقدمة مستمرة، حيث أرسلت رسائل تصيّد احتيالي مموّهة في شكل دعوات لحضور منتدى Primakov Readings، واستهدفت من خلالها وسائل إعلام روسية ومؤسسات تعليمية وهيئات حكومية.
توصل الباحثون خلال تحقيقاتهم في عملية Operation ForumTroll إلى أن المهاجمين استخدموا برمجية التجسسLeetAgent ، التي تميّزت بأوامرها البرمجية المكتوبة بلغةleetspeak ، وهي ميزة غير مألوفة في البرمجيات الخبيثة المستخدمة في الهجمات المتقدمة المستمرة .وكشف التحليل الإضافي عن أوجه تشابه بين مجموعة الأدوات المستخدمة في هذه الحملة وبين برمجية تجسس أكثر تطورًا رصدها فريق GReAT في هجمات أخرى. وأكد الباحثون وجود صلة بين البرمجيتين والهجمات، بعدما تبيّن أن LeetAgent كانت تُطلق البرمجية الثانية في بعض الحالات، أو أن كلتيهما تعتمدان على إطار تحميل مشترك.
صحيح أنّ برمجيات التجسس الأخرى استخدمت تقنيات متقدمة للتخفي من التحليل، منها تقنية التمويه VMProtect، بيد أنّ كاسبرسكي توصلت إلى اسم البرمجية الخبيثة من كودها البرمجي وحددتها باسم Dante. واكتشف باحثو كاسبرسكي أنّ برمجية تجسس تجاريةً لها الاسم نفسه كانت تروج لها مجموعة Memento Labs، التي أعيد إطلاقها بالمسمى الجديد خلفاً للاسم القديم HackingTeam. علاوة على ذلك تتشابه برمجية Dante مع أحدث عينات برمجية التجسس Remote Control System من HackingTeam، التي حصل عليها فريق GReAT من كاسبرسكي.
يعلق على هذه المسألة بوريس لارين، باحث أمني رئيسي في فريق GReAT لدى كاسبرسكي: «ثمة شركات مصنعة لبرمجيات التجسس معروفة في هذا القطاع، تجعل رصد منتجاتها صعبًا في حالات الهجمات الموجّهة التي يتعذر فيها تحديد هوية المصنّع. وقد استلزم الأمر لتحديد مصدر برمجية Dante تحليل طبقات من الشيفرة المموهة، وتتبع بعض البصمات النادرة طوال أعوام من تطور البرمجيات الخبيثة، وربطها بأصول الشركات. ولهذا السبب سُمّيت البرمجية Dante، لكون تتبّع جذورها عملية متعبة وطويلة».
رصد الباحثون أول استخدام لبرمجية LeetAgent الخبيثة عام 2022، واكتشفوا هجمات إضافية شنتها مجموعة ForumTroll على مؤسسات وأفراد في روسيا وبيلاروسيا. وتتميز هذه المجموعة بإتقانها الشديد للغة الروسية ومعرفتها الدقيقة بالخصوصيات المحلية، وهي سمات لاحظتها كاسبرسكي في حملات أخرى متعلقة بهذه التهديدات. ومع ذلك أوضحت بعض الأخطاء أنّ المهاجمين ليسوا متحدثين أصليين للغة الروسية.
كان حل Kaspersky Next XDR Expert أول من اكتشف الهجوم الذي استغل برمجية LeetAgent الخبيثة. وتتاح التفاصيل الكاملة لهذا البحث، فضلاً عن التحديثات المستقبلية بشأن مجموعة ForumTroll APT وبرمجية Dante، لعملاء خدمة الإبلاغ عن التهديدات المتقدمة المستمرة، وذلك من بوابة Kaspersky Threat Intelligence.
