Memento Labs, hervorgegangen aus dem beruechtigt gewordenen Hacking Team, hat bestaetigt, dass das in realen Angriffen beobachtete Spionagewerkzeug Dante aus dem eigenen Portfolio stammt. Laut CEO Paolo Lezzi kam in dem Vorfall ein veralteter Windows-Agent zum Einsatz, dessen Support bis Ende 2025 auslaeuft; Kunden sei bereits seit Dezember 2024 empfohlen worden, diese Version nicht mehr zu nutzen. Die Entdeckung erfolgte im Kontext der Operation „Forum-Troll“, in der eine Chrome-0‑Day CVE‑2025‑2783 missbraucht wurde.
Hintergrund: Von Hacking Team zu Memento Labs und dem Tool Dante
Das 2003 gegruendete Hacking Team zaehlte lange zu den bekanntesten Anbietern kommerzieller Ueberwachungstechnologie und erlangte 2015 nach einem massiven Datenabfluss (ueber 400 GB, inklusive Quellcode) zweifelhafte Prominenz. 2019 wurden die Vermoegenswerte von InTheCyber Group uebernommen und in Memento Labs integriert. In dieser Umgebung entstand Dante, das bereits 2023 auf der Fachkonferenz ISS World MEA erwaehnt wurde. Lezzi betont, heute seien nur noch zwei Ex‑Hacking‑Team‑Mitarbeitende an Bord, die Kundenzahl liege unter 100. Memento Labs fokussiere sich inzwischen auf mobile Spyware und beziehe Exploits haeufig von Dritten; der in den juengsten Angriffen verwendete Chrome‑0‑Day stamme nicht vom Unternehmen.
Zentrale Erkenntnisse zur Operation „Forum-Troll“ und CVE‑2025‑2783
Nach Angaben von Kaspersky richtete sich die Kampagne im Maerz 2025 gegen Mitarbeitende russischer Medien, Behoerden, Bildungs- und Finanzinstitutionen. Initial nutzten die Angreifer gezielte Phishing‑Mails mit Einladungen zu den „Primakow‑Lesungen“. Anschliessend folgte eine Exploit‑Kette, die die Null‑Tage‑Schwachstelle CVE‑2025‑2783 in Google Chrome ausnutzte. Eine eindeutige Zuschreibung erfolgte nicht; die Texte zeigten hohe Sprachkompetenz im Russischen, jedoch typische Fehler nicht‑muttersprachlicher Autoren.
Lieferkette kommerzieller Spyware: Rollen, Risiken und Verantwortung
Die Bestaetigung durch einen Anbieter ist in dieser Branche ungewoehnlich und verdeutlicht die Resilienz der globalen Lieferkette kommerzieller Ueberwachungssoftware. Laut Google Threat Analysis Group werden heute ueber 40 aktive Spyware‑Anbieter weltweit beobachtet. Exploit‑Entwicklung und Bereitstellung erfolgen haeufig durch Drittparteien, die in die Werkzeuge der Anbieter integriert werden. Vergleichbare Muster sind aus oeffentlich dokumentierten Faellen der letzten Jahre bekannt (u. a. NSO Group/Pegasus, Intellexa/Predator), in denen externe Exploit‑Lieferketten eine zentrale Rolle spielten.
Warum veraltete Agenten ein besonderes Sicherheitsrisiko darstellen
Mit der Zeit werden TTPs konkreter Toolfamilien breit analysiert und publiziert: Signaturen, YARA‑Regeln, Verhaltensprofile und bekannte Indicator of Compromise (IOC). Verzoegerungen beim Ausphasen alter Agenten erhoehen die Aufdeckungswahrscheinlichkeit durch EDR/XDR-Loesungen erheblich und exponieren C2‑Infrastruktur. In der Praxis genuegen haeufig bereits oeffentlich zugaengliche Regeln, um veraltete Komponenten zu identifizieren – ein klarer Hinweis auf Defizite in der operativen Hygiene beim Auftraggeber.
Praxisleitfaden: Technische und organisatorische Gegenmassnahmen
– Browser- und OS‑Patching mit Prioritaet fuer CVE‑2025‑2783; strikte Chrome‑Update‑Policies, Extension‑Allowlisting, Site Isolation und gehärtete Sicherheitsmodi im Browser. In verwalteten Umgebungen sollten Policies die zeitnahe Rollout‑Quote garantieren (z. B. via MDM/GRP).
– E‑Mail‑Sicherheit mit DMARC/DKIM/SPF, Anhang‑Sandboxing und URL‑Reputation; regelmaessige Spear‑Phishing‑Simulationen und Awareness‑Trainings, um initiale Zugriffe zu verhindern.
– Endpunkte und Netz: EDR/XDR mit Verhaltensanalytik, restriktive PowerShell‑/WMI‑Policies, Blocklist fuer unsignierte oder unsichere Treiber, Zero‑Trust‑Prinzipien und Mikrosegmentierung zur Eindammung lateraler Bewegungen. Threat Intelligence einbinden: laufende IOC‑Feeds, taktische Berichte zu kommerzieller Spyware und Monitoring auf anomalen ausgehenden Traffic zu C2‑Hosts.
Die Causa Dante zeigt, dass kommerzielle Spyware ein strukturelles Unternehmensrisiko bleibt und der 0‑Day‑Markt hochgradig zielgerichtete Operationen alimentiert. Organisationen sollten veraltete Komponenten konsequent deprovisionieren, Patching‑Fenster maximal verkuerzen und in verhaltensbasierte Detection investieren. Wer jetzt Browser und OS aktualisiert, Policies schaerft und seine Resilienz gegen Phishing testet, reduziert messbar die Angriffsoberflaeche und verkuerzt das „Fenster der Verwundbarkeit“.
