Forscher von Kaspersky haben erstmals die Nutzung der kommerziellen Spionageplattform Dante in realen Angriffen dokumentiert. Das Framework, entwickelt von Memento Labs (ehemals Hacking Team), kam in einer zielgerichteten Operation zum Einsatz, die unter dem Codenamen „Foren-Troll“ geführt und gegen Mitarbeitende russischer Organisationen aus Medien, Behörden, Bildung und Finanzsektor gerichtet war. Zentral war eine Exploit‑Kette mit einem 0‑Day in Google Chrome (CVE‑2025‑2783).
Von Hacking Team zu Memento Labs: Ein neues Kapitel der „gesetzlichen Spyware“
Hacking Team galt seit 2003 als prominenter Anbieter sog. „Lawful Intercept“-Werkzeuge. Das Flaggschiff Remote Control Systems (RCS) ermöglichte Dateizugriff, Kommunikationsabgriff sowie Fernsteuerung von Mikrofon und Kamera. Der bekannte Datenabfluss von über 400 GB im Jahr 2015 legte Quellcode offen und brachte das Geschäft weitgehend zum Erliegen. 2019 wurde das Unternehmen in die InTheCyber Group integriert und in Memento Labs umbenannt. Auf der ISS World MEA 2023 stellte Memento Labs Dante vor; ein Einsatz „in the wild“ war bis jetzt nicht öffentlich belegt.
APT-Kampagne „Foren-Troll“: 0‑Day-Ausnutzung und LeetAgent
Angriffsweg: Spear-Phishing und Drive‑by-Infektion
Den Ermittlungen zufolge erhielten ausgewählte Ziele personalisierte Einladungen zu den Primakow‑Lesungen. Bereits das Öffnen des Links in Chrome führte zur Kompromittierung – zusätzliche Nutzeraktionen waren nicht erforderlich. Ziel der Operation war klar Cyberspionage. Neben Dante beobachteten die Forschenden den Einsatz der Spionagesoftware LeetAgent, deren Kommandos im Leetspeak-Stil formuliert sind – ein untypisches Merkmal für APT‑Operationen. LeetAgent ist seit 2022 in Angriffen gegen Ziele in Russland und Belarus auffällig.
Attribution zu Memento Labs: Artefakte, Versionierung und Code-Übereinstimmungen
Belege: „Dante“, „version 2.0“ und TTP-Korrelation
Im Toolset der Angreifer identifizierten Analysten einen zuvor unbekannten Baustein, der sich als Dante herausstellte. Ausschlaggebend waren String‑Artefakte („Dante“, „version 2.0“), die mit der ISS World MEA 2023-Präsentation korrespondieren, sowie deutliche Ähnlichkeiten in der Codebasis und den eingesetzten Taktiken, Techniken und Prozeduren. Laut Kaspersky GReAT erforderte die Zuordnung das Entschlüsseln „mehrerer Schichten stark verschleierten Codes“ über einen längeren Zeitraum – ein Hinweis auf robuste Operational Security der Täter.
Innere Architektur: Anti-Analyse, Tarnung und C2-Orchestrierung
VMProtect, direkte Systemaufrufe und Sandbox‑Evasion
Dante ist mit VMProtect gepackt, was Kontrollfluss, API‑Importe und Debugging-Spuren verschleiert. Statt klassischer API-Aufrufe berechnet die Malware Funktionsadressen über Hashes und nutzt teils direkte Systemaufrufe, um Hooking und Monitoring zu unterlaufen. Ergänzend erfolgen Debug‑Register‑Checks, Prozessinspektionen sowie Laufzeit‑Heuristiken gegen Sandboxes, inklusive Analysen des Windows‑Ereignisprotokolls auf Artefakte von Analysewerkzeugen und virtuellen Umgebungen.
Orchestrator: HTTPS‑C2, modulare Ladepfade und Selbstentfernung
Nach Umgebungsvalidierung entschlüsselt Dante seine Konfiguration (XOR‑Schema) und startet einen „Orchestrator“, der sich als Schriftart‑Ressource tarnt. Er steuert C2‑Kommunikation via HTTPS, Modulverwaltung, Konfigurationsupdates sowie Selbstschutz. Module werden speicherresident oder dateibasiert nachgeladen; Pfade entstehen aus einer GUID‑Infektion, Base64‑kodiert. Zusatzparameter legt Dante analog im Registry ab. Bleiben C2‑Kommandos aus, löscht sich die Malware selbst samt Spuren – ein Hinderungsgrund für Forensik und Incident‑Response. Aktive Infektionen waren zum Zeitpunkt der Analyse nicht öffentlich verifiziert; zusätzliche Module konnten daher nicht untersucht werden.
Einordnung und Abwehr: Was Organisationen jetzt tun sollten
Die Sichtung von Dante in Verbindung mit einem Chrome‑0‑Day unterstreicht die anhaltende Professionalisierung kommerziell verfügbarer Spyware und ihre Attraktivität für APT‑Akteure. Die Kombination aus Drive‑by‑Exploits, starker Anti‑Analyse und modularer C2‑Steuerung erhöht den Aufwand für Erkennung und Reaktion signifikant.
Organisationen sollten Patch‑Management priorisieren (insbesondere Browser/OS), Anti‑Phishing‑Kontrollen stärken, EDR/NGAV mit verhaltensbasiertem Detekt und Process Isolation einsetzen, Windows‑Logs auf Anomalien und Tool‑Artefakte überwachen sowie Threat‑Intelligence‑Feeds und proaktives Threat Hunting integrieren. Für gefährdete Branchen empfiehlt sich zusätzlich Browser‑Isolation, Härtung von Skript‑Engines und kontrolliertes Modul‑Laden über Applocker/WDAC.
Dante demonstriert, wie engmaschig APT‑Operatoren Technik, Tarnung und Operationssicherheit verzahnen. Wer jetzt in schnelle Updates, robuste Telemetrie und qualifizierte Analysen investiert, verkleinert das Zeitfenster der Angreifer und erhöht die Chance, komplexe Kampagnen frühzeitig aufzudecken.
