Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), faaliyetlerini HackingTeam’den devraldığı bilinen Memento Labs’in yeni bir siber casusluk operasyonuyla bağlantılı olduğuna dair bulgular elde etti. Bu bulgular, Operation ForumTroll adı verilen gelişmiş kalıcı tehdit (APT) kampanyasının incelenmesi sırasında ortaya çıktı ve sonuçlar Tayland’da düzenlenen Security Analyst Summit etkinliğinde paylaşıldı.

Mart 2025’te tespit edilen ForumTroll kampanyası, CVE-2025-2783 olarak kayda geçen bir Google Chrome sıfırıncı gün açığını hedef alıyordu. Saldırganlar, Rusya’daki medya kuruluşlarını, eğitim kurumlarını ve kamu kurumlarını, Primakov Readings forumuna davet izlenimi veren kişiselleştirilmiş oltalama e-postaları aracılığıyla hedefledi.

Dante casus yazılımının izleri

ForumTroll’ü araştıran uzmanlar, saldırılarda LeetAgent adlı bir casus yazılım kullanıldığını belirledi. Yapılan analizler, bu yazılım seti ile daha gelişmiş bir casus yazılım arasında bağlantılar olduğunu gösterdi; hatta bazı durumlarda LeetAgent’ın bu gelişmiş yazılımı başlattığı görüldü.

Gelişmiş analiz karşıtı teknikler kullanan bu ikinci zararlı yazılımın iç kodunda yer alan adının Dante olduğu tespit edildi. Araştırmacılar, Dante’nin, yeniden markalanmış HackingTeam olan Memento Labs tarafından pazarlanan ticari bir casus yazılım ürünü olduğunu belirledi. Ayrıca, HackingTeam’in eski Remote Control System (RCS) casus yazılımının son sürümleriyle Dante arasında da önemli yapısal benzerlikler gözlemlendi.

Kaspersky GReAT Baş Güvenlik Araştırmacısı Boris Larin, elde edilen verilerin, yoğun gizlenmiş kod katmanlarını çözmeyi ve ticari bağlantıları ortaya çıkarmayı gerektiren zorlu bir süreç olduğunu belirtti.

Saldırganların profili

Araştırmacılar, LeetAgent’ın ilk kullanımını 2022 yılına kadar takip etti. ForumTroll APT grubunun, Rusya ve Belarus’taki kurum ve kişilere yönelik ek saldırılar gerçekleştirdiği de tespit edildi. Grubun, güçlü Rusça bilgisi ve yerel ayrıntılara hakimiyeti ile öne çıktığı belirtiliyor; ancak ara sıra yapılan hatalar, saldırganların ana dilinin Rusça olmayabileceği yönünde ipuçları veriyor.