Investigadores de Kaspersky han documentado por primera vez el uso en ataques reales de Dante, una plataforma comercial de espionaje desarrollada por Memento Labs (antes Hacking Team). El hallazgo se produjo durante la investigación de la operación APT “Forum Troll”, dirigida contra empleados de medios, entidades públicas, educativas y financieras en Rusia, y apoyada en una cadena de exploits de día cero que incluyó la vulnerabilidad de Chrome CVE‑2025‑2783.
De Hacking Team a Memento Labs: evolución de una “lawful spyware”
Hacking Team se hizo conocida por su suite Remote Control Systems (RCS), capaz de exfiltrar archivos, interceptar comunicaciones y activar micrófono y cámara. Tras la filtración de más de 400 GB de datos en 2015, la compañía quedó gravemente afectada. En 2019 pasó a integrarse en InTheCyber Group y adoptó el nombre Memento Labs. En ISS World MEA 2023 presentó Dante, sin que hasta ahora existieran registros públicos de su despliegue ofensivo.
Operación “Forum Troll”: spear phishing y explotación sin interacción adicional
Según el análisis, las víctimas recibieron correos personalizados invitándolas a las “Lecturas Primakov”. Bastaba abrir el enlace en Google Chrome para activar la cadena de explotación, logrando la infección sin pasos adicionales del usuario. El objetivo operativo fue el ciberespionaje. En la intrusión también apareció LeetAgent, una pieza de spyware cuyas órdenes están redactadas en leetspeak, un rasgo inusual en APT y con actividad rastreada desde 2022 en Rusia y Bielorrusia.
Atribución técnica: huellas de “Dante” y solapamientos de código
El equipo de respuesta identificó un componente hasta ahora no documentado que contenía las cadenas “Dante” y “version 2.0”, alineadas con la presentación de Memento Labs en 2023. Además, se hallaron similitudes en la base de código entre dicho componente y herramientas empleadas en Forum Troll, reforzando la atribución. “La atribución exigió desmontar varias capas de ofuscación y correlacionar artefactos durante años, reflejando un alto nivel de OPSEC”, señalan los analistas.
Cómo opera Dante: evasión avanzada y orquestación modular por HTTPS
VMProtect, anti‑análisis y llamadas directas al sistema
Dante llega empacado con VMProtect, que distorsiona el flujo de ejecución, oculta importaciones y añade verificaciones anti‑depuración. Para frustrar hooks y monitoreo, evita llamadas estándar a API: resuelve direcciones por hash y utiliza syscalls directos, reduciendo la visibilidad de herramientas defensivas. Implementa consultas a registros de depuración, inspección de parámetros de proceso y revisión del Windows Event Log en busca de artefactos de análisis o virtualización, junto a comprobaciones anti‑sandbox (bibliotecas sospechosas, tiempos de ejecución y huellas en el sistema de archivos).
“Orquestador” C2: control de módulos, persistencia y autoeliminación
Tras validar el entorno, descifra su configuración (XOR simple) e inicia un orquestador disfrazado como recurso tipográfico. Este módulo se comunica con la infraestructura C2 por HTTPS, gestiona configuración y carga de módulos —desde memoria o disco— y aplica rutinas de autoprotección. Las rutas se generan a partir de un GUID de infección codificado en Base64; parámetros adicionales se guardan en el registro bajo el mismo esquema. Si no recibe órdenes del C2 en un periodo definido, Dante se autoelimina y borra rastros, dificultando la respuesta forense. No se han observado infecciones activas al cierre del análisis, por lo que los módulos complementarios no pudieron ser estudiados.
Impacto y medidas de defensa: lecciones para equipos de seguridad
El uso de una cadena 0‑day y de técnicas anti‑análisis resilientes confirma la madurez de actores con acceso a spyware comercial. Para reducir superficie de ataque, se recomienda parchear de forma prioritaria navegadores y sistemas operativos, endurecer los controles de correo y web frente a phishing dirigido, y activar la telemetría de eventos de Windows con detección de anomalías y tampering.
Resulta clave desplegar EDR/NGAV con detección basada en comportamiento y aislamiento de procesos, además de políticas de restricción de ejecución, listas de control de aplicaciones, segmentación de red y vigilancia de conexiones HTTPS salientes sospechosas hacia dominios de reciente creación. Las organizaciones en perfiles de riesgo deberían apoyarse en Threat Intelligence actualizada y Threat Hunting proactivo con reglas de memoria/YARA y análisis de syscalls y cadenas de carga.
La aparición de Dante en operaciones APT marca un punto de inflexión en el mercado de lawful spyware aplicado al ciberespionaje. Fortalezca su postura de seguridad con parches ágiles, defensa en profundidad y formación recurrente al personal, y mantenga una vigilancia continua sobre nuevas TTPs para detectar y contener campañas similares a tiempo.
