Исследователи «Лаборатории Касперского» впервые зафиксировали использование в реальных атаках коммерческой шпионской платформы Dante, разработанной Memento Labs (ранее Hacking Team). Активность была выявлена в рамках расследования APT-операции «Форумный тролль», направленной на сотрудников российских организаций.
Кто стоит за Dante: от Hacking Team к Memento Labs
Hacking Team — один из самых известных производителей так называемой «законной спайвари». С 2003 года компания поставляла продукт Remote Control Systems (RCS), который позволял извлекать файлы с зараженных устройств, перехватывать сообщения и управлять микрофоном и камерой. В 2015 году в результате масштабного взлома в сеть утекло более 400 ГБ данных, включая исходный код, после чего компания фактически остановила работу с клиентами.
В 2019 году Hacking Team вошла в состав InTheCyber Group и была переименована в Memento Labs. На профильной конференции ISS World MEA 2023 компания представила новое решение — Dante, однако до настоящего времени его применение в атаках не фиксировалось публично.
Операция «Форумный тролль»: 0‑day в Chrome и LeetAgent
По данным исследователей, в марте 2025 года была обнаружена сложная целевая кампания, в которой задействовали цепочку эксплойтов нулевого дня, включая уязвимость в браузере Chrome (CVE-2025-2783). Потенциальным жертвам — сотрудникам СМИ, государственных, образовательных и финансовых организаций в России — рассылались персонализированные письма с приглашением на научно-экспертный форум «Примаковские чтения».
Достаточно было открыть ссылку в браузере Chrome, после чего происходило заражение без дополнительных действий со стороны пользователя. Основная цель кампании — кибершпионаж. В ходе анализа специалисты установили, что задействовалась спайварь LeetAgent, команды которой были написаны в стиле leetspeak — нетипичное решение для APT-операций. Активность LeetAgent прослеживается с 2022 года, включая атаки на организации и частных лиц в России и Беларуси.
Атрибуция Dante к Memento Labs: что указывает на происхождение
Строки, версия 2.0 и схожий код
При изучении арсенала злоумышленников исследователи обнаружили ранее неизвестный компонент, который оказался именно Dante. На атрибуцию указывают строки «Dante» и «version 2.0» в коде, коррелирующие с презентацией Memento Labs на ISS World MEA 2023, а также сходства в кодовой базе между Dante и инструментами, использованными в операции «Форумный тролль».
Как работает Dante: укрытие, антианализ и «оркестратор» C2
VMProtect и противодействие анализу
Шпионское ПО упаковано с помощью VMProtect, что усложняет статический анализ: обфусцируется поток управления, скрываются импорты и добавляются антиотладочные проверки. Для противодействия хукам Dante не полагается на стандартные вызовы API, а вычисляет адреса по хешам и обращается к системным вызовам напрямую — подход, снижающий эффективность мониторинга.
Присутствуют и дополнительные проверки: обращения к отладочным регистрам, выявление признаков дебаггера, а также инспекция параметров процесса. Чтобы избежать детекта, Dante анализирует журнал событий Windows в поисках артефактов инструментов анализа и виртуальных сред, выполняет проверки на «песочницу» (подозрительные библиотеки, измерение времени выполнения функций, анализ файловой системы).
Оркестратор: связь по HTTPS, модули и самоудаление
После валидации окружения Dante расшифровывает конфигурацию (простая XOR-схема) и запускает «оркестратор», маскируемый под ресурс шрифта. Оркестратор отвечает за связь с C2-серверами по HTTPS, управление модулями и конфигурацией, а также за самозащиту и самоудаление. Модули могут подгружаться из памяти или файловой системы; пути формируются на основе GUID-инфикции, закодированного в Base64. Дополнительные параметры сохраняются в реестре по аналогичной схеме.
Если в течение заданного периода команда от C2 не поступает, Dante удаляет себя и следы активности, что усложняет пост-инцидентное расследование. На момент публикации анализа активных заражений не выявлено, поэтому дополнительные модули изучить не удалось.
По словам Бориса Ларина, ведущего эксперта Kaspersky GReAT, атрибуция этого семейства потребовала разборки «нескольких слоев запутанного кода» и сопоставления артефактов за несколько лет, что подтверждает высокий уровень противодействия анализу и тщательно продуманную операционную безопасность нападающих.
Компании и госструктурам стоит оперативно устанавливать патчи для браузеров и ОС, усиливать антифишинговые меры, включать мониторинг аномалий в журналах событий Windows, применять EDR/NGAV с поддержкой поведенческого детекта и изоляции процессов, а также проводить регулярные учения для сотрудников. Организациям, попадающим в профиль риска, рекомендуется подключить TI-каналы и проактивный Threat Hunting для раннего выявления подобных кампаний.
