El director de Memento Labs (antes Hacking Team), Paolo Lezzi, confirmó que Dante, la pieza de spyware detectada por Kaspersky en ataques reales, pertenece al catálogo de su empresa. Según Lezzi, el incidente involucró un agente para Windows obsoleto cuya retirada está prevista para finales de 2025 y cuyo uso ya se desaconsejó a los clientes desde diciembre de 2024. La detección se enmarcó en la investigación de la operación “Foro Troll”, donde se explotó la vulnerabilidad de día cero de Chrome CVE‑2025‑2783.
De Hacking Team a Memento Labs: contexto y aparición de Dante
Hacking Team fue uno de los proveedores más notorios de spyware comercial desde 2003 y saltó a la fama tras la filtración de 2015 que expuso más de 400 GB de datos, incluidos códigos fuente. En 2019, sus activos fueron adquiridos por InTheCyber Group e integrados en Memento Labs, donde emergió el nuevo implante Dante, presentado en ISS World MEA 2023.
Lezzi precisó que solo dos antiguos empleados de Hacking Team permanecen en la compañía y que el número de clientes es “menor de 100”. Memento Labs se centra hoy en capacidades móviles y, a menudo, integra exploits de terceros; de hecho, el 0‑day de Chrome usado en las ofensivas recientes no era de su propiedad.
Operación “Foro Troll”: phishing dirigido y cadena de explotación con CVE‑2025‑2783
De acuerdo con Kaspersky, en marzo de 2025 se observó una campaña sofisticada contra empleados de medios rusos, organismos gubernamentales, instituciones educativas y financieras. Los atacantes enviaron correos personalizados con invitaciones al foro “Lecturas Primakov” y, tras el cebo, ejecutaron una cadena de exploits que aprovechó CVE‑2025‑2783 en Google Chrome para comprometer a las víctimas.
Los investigadores evitaron atribuciones firmes. Señalaron un dominio del idioma ruso y del contexto local por parte de los operadores, aunque con errores propios de hablantes no nativos.
Confirmación del proveedor: riesgos, cadena de suministro y responsabilidad
La admisión pública por parte de un proveedor de spyware comercial es inusual en un mercado tradicionalmente opaco. El uso de un agente obsoleto sugiere déficits de higiene operativa del cliente: estos componentes acumulan IoC conocidos, patrones de comportamiento mapeados y mayor visibilidad frente a EDR/XDR, lo que eleva el riesgo de exposición del C2 y de la operación completa.
El caso subraya la resiliencia de la cadena de suministro global de vigilancia comercial. Según Google Threat Analysis Group, hoy se rastrean más de 40 proveedores activos de herramientas de seguimiento mercenarias a escala mundial: un ecosistema donde los exploits suelen provenir de terceros e integrarse como “entregadores” en paquetes modulares. Que un proveedor no haya desarrollado el 0‑day no impide su incorporación táctica a implantes como Dante.
Por qué los agentes desfasados son un talón de Aquiles
Con el tiempo, las TTP de una familia de spyware se documentan en firmas, reglas YARA y perfiles conductuales. Mantener agentes antiguos incrementa la probabilidad de detección temprana, facilita el pivoting defensivo hacia la infraestructura C2 y multiplica el riesgo de atribución técnico-operativa.
Medidas de defensa contra spyware comercial y explotación de 0‑days
Parches rápidos de navegador y sistema: aplicar con prioridad alta las actualizaciones que corrigen CVE‑2025‑2783, imponer políticas corporativas en Chrome (auto‑update, bloqueo de extensiones riesgosas), habilitar Site Isolation y protecciones reforzadas del navegador.
Fortificación del perímetro de correo: implementar DMARC/DKIM/SPF, sandboxing de adjuntos, verificación de URLs y simulaciones periódicas de phishing con formación específica para equipos que manejan invitaciones y eventos públicos.
Controles en endpoint y red: desplegar EDR/XDR con reglas conductuales, restringir PowerShell y WMI, aplicar listas de bloqueo de drivers no confiables, modelos Zero Trust y segmentación para limitar movimientos laterales. Monitorizar anomalías de tráfico saliente hacia dominios poco frecuentes o infraestructuras efímeras usadas como C2.
Inteligencia de amenazas accionable: suscribirse a fuentes de IOC, informar reglas YARA específicas de familias comerciales y correlacionar telemetría interna con reportes tácticos y operativos de actores mercenarios.
El episodio de Dante confirma que la vigilancia comercial es un riesgo sistémico y que el mercado de 0‑days sigue alimentando operaciones dirigidas. Reducir el “tiempo de exposición” exige parches acelerados, detección basada en comportamiento y ejercicios regulares frente a escenarios de phishing. Priorice SLA de remediación por criticidad, audite el uso de agentes/SDK heredados y verifique su postura EDR ante TTP conocidas para disminuir la probabilidad de compromiso.
