Лабораторія Касперського вперше задокументувала застосування комерційної шпигунської платформи Dante, що розроблена Memento Labs (колишня Hacking Team), у реальній APT-операції. Активність ідентифіковано в межах розслідування кампанії «Форумний троль», спрямованої на співробітників російських організацій і націленої на кібершпигунство.
Походження Dante: від Hacking Team до Memento Labs
Hacking Team тривалий час постачала так звану «законну спайвар» — комплекс Remote Control Systems (RCS) для збирання файлів, перехоплення повідомлень і віддаленого керування мікрофоном/камерою. Після масштабного витоку у 2015 році (понад 400 ГБ даних, включно з вихідним кодом) компанія фактично припинила роботу з клієнтами.
У 2019 році бренд інтегрували до InTheCyber Group і перейменували на Memento Labs. На конференції ISS World MEA 2023 компанія презентувала Dante, однак донині її використання в атаках публічно не підтверджувалося.
Кампанія «Форумний троль»: 0‑day у Chrome (CVE-2025-2783) і LeetAgent
За даними дослідників, у березні 2025 року виявлено таргетовану кампанію з ланцюжком експлойтів нульового дня, зокрема уразливістю в Google Chrome CVE-2025-2783. Потенційним жертвам — співробітникам ЗМІ, державних, освітніх і фінансових установ у Росії — надсилали персоналізовані листи із запрошенням на науково-експертний форум «Примаковські читання».
Для компрометації достатньо було відкрити посилання у Chrome — інфікування відбувалося без додаткової взаємодії користувача. У ланцюжку інфекції фігурувала спайвар LeetAgent, команди якої оформлено у стилі leetspeak — нетипова риса для APT, але помічена в активності проти організацій та приватних осіб у Росії та Білорусі з 2022 року.
Атрибуція Dante до Memento Labs: технічні артефакти
Індикатори в коді: «Dante», «version 2.0» і схожі базові модулі
Під час аналізу арсеналу зловмисників виявлено новий компонент, ідентифікований як Dante. На походження вказують вбудовані рядки «Dante» та «version 2.0», що корелюють із презентацією Memento Labs (ISS World MEA 2023), а також схожість кодової бази між Dante і засобами, застосованими в операції «Форумний троль».
Технічний профіль Dante: антианаліз і «оркестратор» C2
VMProtect, обхід моніторингу та перевірки середовища
Завантажувач і модулі Dante упаковано засобом VMProtect: обфускується потік керування, приховуються імпорти, додаються антивідладкові перевірки. Щоб зменшити видимість для EDR, Dante не покладається на стандартні API‑виклики, а обчислює адреси за хешами і звертається до системних викликів напряму — такий підхід ускладнює перехоплення гакерами та моніторинг.
Інструмент перевіряє журнали подій Windows на артефакти засобів аналізу й ознаки віртуалізації, виконує таймінгові тести, інспектує файлову систему та бібліотеки на предмет «пісочниці». Це допомагає уникати запуску в середовищах дослідження.
Оркестратор: HTTPS‑зв’язок, модульність і самоочищення
Після валідації довкілля Dante розшифровує конфігурацію (проста XOR‑схема) і стартує «оркестратор», замаскований під ресурс шрифту. Оркестратор керує зв’язком із C2 по HTTPS, завантаженням/активацією модулів і конфігурацією, а також самозахистом і видаленням. Модулі можуть підвантажуватися з пам’яті або диску; шляхи формуються з GUID‑ідентифікатора інфекції, закодованого Base64. Додаткові параметри зберігаються у реєстрі за схожим принципом.
Якщо протягом визначеного інтервалу C2 не відповідає, Dante самоусувається та прибирає сліди, що ускладнює ретроспективний аналіз інциденту. На момент публікації активних інфекцій не виявлено, тож вивчити додаткові модулі повною мірою не вдалося.
За словами Бориса Ларіна (Kaspersky GReAT), атрибуція сімейства стала можливою після розбору «кількох шарів заплутаного коду» та зіставлення артефактів за кілька років, що демонструє високий рівень операційної безпеки і протидії аналізу з боку зловмисників.
Що робити організаціям: практичні кроки захисту
Організаціям варто оперативно застосовувати патчі до браузерів і ОС (зокрема оновлення Chrome для CVE-2025-2783), посилювати антифішингові контролі (DMARC/DKIM/SPF, тренінги користувачів), а також увімкнути моніторинг аномалій у Windows Event Log (нетипові процеси, створення служб, зміни реєстру).
Рекомендовано використовувати EDR/NGAV із поведінковим детектом і ізоляцією процесів, інвентаризацію плагінів та розширень браузера, контроль виконання PowerShell і WMI, а для організацій із підвищеним ризиком
