卡巴斯基GReAT团队发现沉寂多年的HackingTeam间谍软件再度现身

勇砺商业评论 曾宪勇

卡巴斯基全球研究与分析团队（GReAT）发现的证据表明， HackingTeam的继任者Memento Labs与新一轮网络间谍攻击有关联。这一发现源于对ForumTroll行动的调查，这是一场利用Google Chrome零日漏洞的高级持续性威胁（APT）活动。相关研究成果已在泰国举行的2025年安全分析师大会上公布。

2025年3月，卡巴斯基全球研究与分析团队（GReAT）曝光了ForumTroll行动，这是一场利用Chrome零日漏洞CVE-2025-2783的复杂网络间谍活动。攻击幕后的APT组织伪装成普里马科夫读书会论坛的邀请函，向俄罗斯媒体机构、政府组织、教育及金融机构发送了个性化的钓鱼邮件。

在调查ForumTroll行动时，研究人员发现攻击者使用了一种名为LeetAgent的间谍软件。该软件最显著的特征是其指令全部采用" leetspeak "黑客语编写——这在APT恶意软件中实属罕见。进一步的分析发现，其工具集与卡巴斯基GReAT在其他攻击中观察到的更高级间谍软件之间存在相似之处。经确认，在某些情况下，后者是由LeetAgent启动的，或者它们共享加载器框架，研究人员由此证实了这两者之间的关联，以及它们与攻击之间的关联。

尽管其他间谍软件采用了包括VMProtect混淆在内的高级反分析技术，卡巴斯基仍从代码中提取出该恶意软件的名称，并将其识别为Dante。研究人员发现，一款同名的商业间谍软件由 Memento Labs（HackingTeam 品牌重塑后的继任者）进行推广。此外，卡巴斯基GReAT团队获取的HackingTeam远程控制系统间谍软件的最新样本，也与Dante存在相似之处。

“尽管间谍软件供应商的存在在业内众所周知，但其产品始终较为隐蔽——尤其是在识别极其困难的针对性攻击中。要揭示 Dante 的起源，必须层层剥离重度混淆的代码，追踪数年恶意软件演变中零星的罕见痕迹，并将其与企业血统关联起来。或许这正是其命名为Dante（但丁）的缘由——任何试图追溯其根源的人都将踏上一段穿越地狱般的艰险旅程，”卡巴斯基全球研究与分析团队首席安全研究员Boris Larin说。

为避免被探测到， Dante（但丁）采用了一种独特的方式，先对周围环境进行分析，再判断能否安全执行其功能。

研究人员将LeetAgent的首次使用追溯至2022年，并发现ForumTroll APT组织对俄罗斯和白俄罗斯的机构及个人发动了更多攻击。该威胁组织以精湛的俄语能力和对当地文化细节的掌握而显得突出，卡巴斯基在与此 APT 威胁相关的其他活动中也观察到了这些特点。但是，攻击者偶尔出现的语言错误表明他们的母语并非俄语。

利用LeetAgent的攻击最初是由卡巴斯基Next XDR专家版检测到的。关于此项研究的完整细节，以及ForumTroll APT组织和Dante恶意软件的最新动态，可供APT报告服务客户通过卡巴斯基威胁情报门户网站查询。（曾宪勇）