Глава Memento Labs (ранее Hacking Team) Паоло Лецци подтвердил, что шпионское ПО Dante, зафиксированное «Лабораторией Касперского» в реальных атаках, является продуктом его компании. По словам Лецци, в инциденте фигурировал устаревший Windows‑агент, поддержка которого прекращается к концу 2025 года, а использование этой версии клиентам рекомендовали прекратить еще в декабре 2024‑го. Обнаружение Dante произошло в ходе расследования операции «Форумный тролль», где применялась 0‑day уязвимость в Chrome CVE‑2025‑2783.
Контекст: от Hacking Team к Memento Labs и появление Dante
Hacking Team — один из наиболее известных разработчиков коммерческой спайвари, основанный в 2003 году. Компания получила печальную известность после крупной утечки 2015 года, когда в сеть попало свыше 400 ГБ данных, включая исходные коды. В 2019 году активы были выкуплены InTheCyber Group и интегрированы в Memento Labs.
Именно в экосистеме Memento Labs появился новый инструмент шпионажа Dante, о котором компания упоминала на профильной конференции ISS World MEA в 2023 году. Лецци уточнил, что в текущей команде осталось лишь два бывших сотрудника Hacking Team и что число клиентов компании «меньше 100». По его словам, сегодня Memento Labs фокусируется на мобильной спайвари и зачастую получает эксплоиты от сторонних разработчиков; при этом 0‑day для Chrome, использованный в недавних атаках, не принадлежал компании.
Операция «Форумный тролль»: фишинг и 0‑day в цепочке заражения
По данным «Лаборатории Касперского», в марте 2025 года была выявлена сложная целевая кампания против сотрудников российских СМИ, государственных, образовательных и финансовых организаций. Злоумышленники рассылали персонализированные письма с приглашениями на форум «Примаковские чтения», после чего задействовали цепочку эксплоитов с использованием уязвимости нулевого дня CVE‑2025‑2783 в браузере Chrome.
Исследователи воздержались от привязки кампании к конкретной стране или группировке, отметив, что нападавшие хорошо владели русским языком и контекстом, но допускали ошибки, характерные для не носителей.
Что меняет подтверждение поставщика: риски, цепочка поставок и ответственность
Признание со стороны поставщика коммерческой спайвари — редкий случай для рынка, который традиционно закрыт для публичных комментариев. Факт использования устаревшего агента указывает на проблемы операционной гигиены у заказчика: такие агенты чаще детектируются EDR‑системами, содержат давно известные индикаторы компрометации и повышают риск экспозиции всей операции.
Ситуация также подчеркивает устойчивость глобальной цепочки поставок коммерческого шпионского ПО. По оценке Google Threat Analysis Group, сегодня отслеживается более 40 активных поставщиков коммерческих средств слежки по всему миру — это рыночная экосистема, где разработка эксплоитов нередко осуществляется третьими сторонами. Таким образом, даже если вендор спайвари не разрабатывает 0‑day самостоятельно, он может интегрировать в свои инструменты сторонние «доставщики» и эксплойт‑цепочки.
Почему устаревшие агенты особенно уязвимы
С течением времени тактики, техники и процедуры (TTP) конкретной спайвари становятся известны сообществу: публикуются сигнатуры, YARA‑правила, поведенческие профили. Любые задержки с отказом от устаревших компонентов повышают риски как для целей, так и для операторов — от быстрого обнаружения до раскрытия инфраструктуры командования и управления (C2).
Практические меры защиты от коммерческой спайвари
Организациям стоит укрепить многослойную защиту: оперативные обновления браузеров и ОС (особенно быстрая установка патчей для CVE‑2025‑2783), жесткая политика обновлений Chrome и расширений, включение Site Isolation и усиленных настроек безопасности браузера. В почтовом периметре — DMARC/DKIM/SPF, песочницы для вложений и URL‑reputation, а также моделирование фишинга и обучение сотрудников распознаванию таргетированных писем.
На уровне конечных точек — поведенческий EDR/XDR, контроль PowerShell и WMI, блокинг непроверенных драйверов, принципы Zero Trust и сегментация сети для ограничения латерального перемещения. Важны и Threat Intelligence: подписки на актуальные индикаторы компрометации (IOC), тактические и оперативные отчеты по коммерческой спайвари, а также постоянный мониторинг аномалий исходящего трафика к C2‑узлам.
История с Dante демонстрирует: коммерческая спайварь остается системным риском для организаций, а рынок 0‑day продолжает подпитывать целевые операции. Поддерживайте актуальность программной среды, инвестируйте в обнаружение на основе поведения и регулярно проверяйте готовность к фишинговым сценариям. Чем быстрее сокращается «окно уязвимости», тем ниже вероятность успешной компрометации.
