Nuovo spyware Dante collegato al team di hacker rinominato Memento Labs

Una nuova minaccia globale di cyberspionaggio è emersa con la scoperta di Dante, uno strumento di sorveglianza commerciale sviluppato dall'azienda italiana Memento Labs. Per vostra informazione, Memento Labs è la nuova entità della controversa azienda di sorveglianza italiana Hacking Team .

L'azienda di sicurezza informatica Kaspersky ha presentato la campagna, denominata Operation ForumTroll, che ha colpito i primi obiettivi nel marzo 2025. Kaspersky attribuisce questo attacco a uno specifico gruppo di minacce che monitora come ForumTroll APT.

L'operazione è iniziata con e-mail di phishing altamente personalizzate, camuffate da inviti al forum internazionale "Letture di Primakov". Questi messaggi altamente personalizzati hanno preso di mira enti governativi, centri di ricerca, università e organizzazioni mediatiche, principalmente in Russia e Bielorussia. L'obiettivo, secondo la ricerca di Kaspersky, era chiaramente lo spionaggio.

L'infezione è iniziata quando un destinatario ha cliccato su un link personalizzato. Il sito dannoso ha eseguito un rapido controllo, chiamato Validator, per confermare che la vittima fosse un utente reale prima di eseguire l'attacco. Il trucco principale consisteva nello sfruttare una vulnerabilità zero-day in Google Chrome. Questa specifica falla, identificata come CVE-2025-2783 , era particolarmente ingegnosa: sfruttava un errore di Windows vecchio di decenni per aggirare il processo di sicurezza di Chrome.

In questo modo, gli aggressori sono riusciti a bypassare tutte le barriere protettive di Chrome (sandbox escape) e ad assumere il pieno controllo del sistema. Kaspersky ha segnalato il problema, spingendo Google a rilasciare rapidamente una patch. L'ampio elenco di precedenti attacchi zero-day condiviso da Kaspersky dimostra che si tratta di uno sforzo continuo e difficile per intercettare tali attacchi dannosi.

Ecco l'elenco degli Zero-day in circolazione segnalati da Kaspersky:

• CVE-2014-0497
• CVE-2014-0515
• CVE-2014-0546
• CVE-2016-4171
• CVE-2017-11292

• CVE-2014-4077
• CVE-2015-2360
• CVE-2016-0034
• CVE-2016-0165
• CVE-2016-3393
• CVE-2018-8174
• CVE-2018-8453
• CVE-2018-8589
• CVE-2018-8611
• CVE-2019-0797
• CVE-2019-0859
• CVE-2019-1458
• CVE-2020-0986
• CVE-2020-1380
• CVE-2021-28310
• CVE-2021-31955
• CVE-2021-31956
• CVE-2021-40449
• CVE-2023-28252
• CVE-2024-30051

• CVE-2019-13720
• CVE-2024-4947
• CVE-2025-2783

• CVE-2023-32434
• CVE-2023-32435
• CVE-2023-38606
• CVE-2023-41990

Una volta compromessi, gli aggressori hanno installato un componente segreto per garantire un accesso persistente. Hanno ottenuto questo risultato utilizzando una tecnica chiamata Component Object Model (COM), che prevede la manipolazione del registro di sistema di Windows. Inserendo una voce personalizzata nelle impostazioni private dell'utente, gli aggressori hanno costretto i programmi Windows legittimi a caricare il loro codice dannoso, che ha poi avviato il vero e proprio spyware LeetAgent, uno strumento progettato per rubare file (come documenti e fogli di calcolo), eseguire comandi di sistema e registrare le sequenze di tasti premuti.

I ricercatori di Kaspersky hanno poi scoperto un collegamento operativo e di codice diretto tra gli attacchi LeetAgent e uno strumento più potente che hanno identificato come Dante. Questa connessione conferma uno sviluppo chiave nel mercato degli spyware commerciali. Dante è la nuova piattaforma di sorveglianza di Memento Labs, l'azienda creata dopo l'acquisizione e il rebranding del famigerato Hacking Team nel 2019.

"Abbiamo trovato codice simile condiviso dall'exploit, dal loader e da Dante. Nel complesso, questi risultati ci permettono di concludere che anche la campagna Operation ForumTroll è stata condotta utilizzando lo stesso set di strumenti fornito con lo spyware Dante", hanno osservato i ricercatori nel post del blog .

Come riportato in precedenza da Hackread.com, Hacking Team è stata fondata nel 2003 ed è nota per il suo potente software di sorveglianza, lo spyware Da Vinci o Remote Control System (RCS) . Una massiccia fuga di dati nel 2015 ha compromesso i loro strumenti e messo a nudo le operazioni interne, causandone il successivo rebranding.

La scoperta di Dante (il cui nome Kaspersky ha trovato scritto nel codice) e il suo utilizzo da parte del gruppo APT ForumTroll almeno dal 2022 confermano che il mercato della sorveglianza commerciale è in continua evoluzione. Nonostante il rebranding di Hacking Team, la loro attività di vendita di potenti strumenti di spionaggio persiste.

I ricercatori suggeriscono che individuare e identificare gli sviluppatori di questi strumenti avanzati, un processo chiamato attribuzione, è fondamentale per affrontare la vera portata dello spionaggio informatico globale.