Комерційне шпигунське ПЗ знову в центрі уваги. Керівник Memento Labs Паоло Лецці підтвердив, що зафіксоване «Лабораторією Касперського» у реальних атаках рішення Dante — продукт його компанії. За словами Лецці, йшлося про застарілий Windows‑агент, підтримку якого припинять до кінця 2025 року, а клієнтам радили відмовитися від нього ще у грудні 2024‑го. Виявлення відбулося під час розслідування операції «Форумний троль», де застосовувалася 0‑day уразливість у Chrome CVE‑2025‑2783.
Memento Labs: спадок Hacking Team і поява Dante
Витоки рішення сягають часів Hacking Team — одного з найвідоміших постачальників комерційної спайварі, заснованого у 2003 році. Після масштабного витоку понад 400 ГБ даних у 2015‑му активи компанії у 2019 році викупила InTheCyber Group, інтегрувавши їх у Memento Labs.
У портфелі Memento Labs інструмент Dante був представленим на профільних заходах ще у 2023 році. Лецці наголосив, що у нинішній команді залишилися лише двоє колишніх співробітників Hacking Team, кількість клієнтів «менше 100», а фокус зсунувся в бік мобільної спайварі. За його словами, експлойти часто надходять від сторонніх розробників; зокрема, 0‑day для Chrome, використаний у нещодавніх атаках, компанії не належав.
Операція «Форумний троль»: таргетований фішинг і 0‑day у ланцюжку інфекції
За даними «Лабораторії Касперського», у березні 2025 року зафіксовано складну цільову кампанію проти співробітників російських ЗМІ, держсектору, освітніх і фінансових організацій. Зловмисники розсилали персоналізовані листи із запрошеннями на «Примаковські читання», після чого вмикали ланцюжок експлойтів з використанням CVE‑2025‑2783 для Chrome.
Дослідники утрималися від атрибуції до конкретної держави чи групи, відзначивши високий рівень володіння мовою і контекстом при наявності помилок, типових для не носіїв.
Що змінює визнання постачальника: ризики, ланцюг постачання та відповідальність
Випадки публічного підтвердження з боку вендорів комерційної спайварі трапляються рідко. Факт застосування застарілого агента вказує на слабку операційну гігієну замовника: такі компоненти частіше детектуються EDR/XDR, мають відомі IOC і підвищують ризик розкриття всієї операції, включно з інфраструктурою C2.
Кейс підсвічує стійкість глобальної ланцюга постачання комерційного шпигунського ПЗ. За оцінкою Google Threat Analysis Group, сьогодні відстежується понад 40 активних постачальників таких інструментів по всьому світу. Це ринок, де створення експлойтів часто виконують треті сторони, а постачальники інтегрують їх у власні засоби доставки.
Чому застарілі агенти вразливіші
З часом TTP конкретних інструментів стають відомими спільноті: публікуються сигнатури, YARA‑правила, поведінкові профілі. Затримка з відмовою від застарілих компонентів збільшує ризик швидкого виявлення, ускладнює приховування та сприяє деанонімізації C2‑інфраструктури.
Практичний захист від комерційної спайварі: що робити зараз
Пакети оновлень — у пріоритеті: терміново встановіть виправлення для CVE‑2025‑2783, запровадьте жорстку політику оновлень Chrome і розширень, увімкніть Site Isolation та посилений режим безпеки браузера.
Захист поштового периметра: впровадьте DMARC/DKIM/SPF, використовуйте пісочниці для вкладень, фільтрацію URL та регулярні тренування з моделювання фішингу для співробітників.
На кінцевих точках: застосовуйте поведінкові EDR/XDR, обмежуйте PowerShell і WMI, блокуйте непідписані драйвери, впроваджуйте Zero Trust і сегментацію мережі, щоб зменшити латеральний рух зловмисника.
Розвідка загроз: підписки на актуальні IOC, тактичні та оперативні звіти щодо комерційної спайварі, постійний моніторинг аномалій вихідного трафіку до C2‑вузлів. Це скорочує «вікно вразливості» й підвищує шанс раннього виявлення.
Історія з Dante показує: комерційне шпигунське ПЗ залишається системним ризиком, а ринок 0‑day живить таргетовані операції. Підтримуйте актуальність софту, робіть ставку на поведінкове виявлення та регулярно перевіряйте готовність до фішингових сценаріїв. План дій простий: оновити — захистити — виявити — навчити. Чим швидше зменшиться «вікно», тим нижча ймовірність успішної компрометації.
