A Equipa Global de Investigação e Análise da Kaspersky (GReAT) identificou um novo spyware, de nome Dante, utilizado numa campanha que explorou uma vulnerabilidade zero-day (dia-zero) no Google Chrome. A investigação, apresentada no Security Analyst Summit 2025, insere-se na análise à “Operação ForumTroll”.
A descoberta mais significativa da Kaspersky é a ligação técnica entre este o novo spyware Dante e a Memento Labs, a empresa sucessora da HackingTeam, um conhecido fornecedor de software de espionagem.
A Operação ForumTroll e o ‘zero-day’
A investigação original, revelada pela Kaspersky em março de 2025, expôs a Operação ForumTroll. Esta campanha de ciberespionagem explorou uma falha no Chrome (CVE-2025-2783) para atacar alvos específicos.
O grupo APT enviava emails de phishing personalizados, disfarçados de convites para o fórum Primakov Readings, com o objetivo de atingir:
- Meios de comunicação russos
- Órgãos governamentais
- Instituições educacionais
- Entidades financeiras
O grupo demonstrou um domínio da língua russa e das nuances locais, embora alguns erros ocasionais indiquem que não são falantes nativos.
A ligação entre LeetAgent e o spyware Dante
Durante a análise, os investigadores descobriram um spyware inicial chamado LeetAgent, que se destacou pelo uso invulgar de comandos escritos em leetspeak.
Uma análise mais aprofundada revelou semelhanças entre o LeetAgent e um spyware mais avançado, observado noutros ataques. A Kaspersky confirmou a relação ao determinar que, em alguns casos, este segundo spyware era lançado pelo LeetAgent ou partilhava o mesmo carregador (loader).
A identificação da Memento Labs
Este segundo spyware, apesar de usar técnicas de ofuscação (como VMProtect) para evitar a análise, foi identificado como “Dante”. Os investigadores descobriram que um spyware comercial com o mesmo nome era promovido pela Memento Labs.
A Kaspersky GReAT confirmou ainda que amostras recentes do software Remote Control System (RCS) da HackingTeam partilhavam semelhanças técnicas com o Dante.
“Descobrir a origem do Dante exigiu desvendar várias camadas de código ofuscado […] e ligá-las à sua linhagem corporativa“, afirma Boris Larin, investigador principal da Kaspersky GReAT. “Talvez seja por isso que o batizaram de Dante, porque rastrear as suas raízes é, literalmente, uma viagem ao inferno“.
Conclusão
A investigação da Kaspersky, apresentada no Security Analyst Summit 2025, estabelece uma ligação técnica clara entre uma campanha APT que utiliza vulnerabilidades zero-day (ForumTroll) e um spyware comercial (Dante) associado à Memento Labs. A descoberta expõe a dificuldade em rastrear fornecedores de malware comerciais e a sua utilização em ataques direcionados.
Outros artigos interessantes:
