卡巴斯基GReAT團隊發現沉寂多年的HackingTeam間諜軟件再度現身

勇礪商業評論 曾憲勇

卡巴斯基全球研究與分析團隊（GReAT）發現的證據表明， HackingTeam的繼任者Memento Labs與新一輪網絡間諜攻擊有關聯。這一發現源于對ForumTroll行動的調查，這是一場利用Google Chrome零日漏洞的高級持續性威脅（APT）活動。相關研究成果已在泰國舉行的2025年安全分析師大會上公布。

2025年3月，卡巴斯基全球研究與分析團隊（GReAT）曝光了ForumTroll行動，這是一場利用Chrome零日漏洞CVE-2025-2783的復雜網絡間諜活動。攻擊幕后的APT組織偽裝成普里馬科夫讀書會論壇的邀請函，向俄羅斯媒體機構、政府組織、教育及金融機構發送了個性化的釣魚郵件。

在調查ForumTroll行動時，研究人員發現攻擊者使用了一種名為LeetAgent的間諜軟件。該軟件最顯著的特征是其指令全部采用" leetspeak "黑客語編寫——這在APT惡意軟件中實屬罕見。進一步的分析發現，其工具集與卡巴斯基GReAT在其他攻擊中觀察到的更高級間諜軟件之間存在相似之處。經確認，在某些情況下，后者是由LeetAgent啟動的，或者它們共享加載器框架，研究人員由此證實了這兩者之間的關聯，以及它們與攻擊之間的關聯。

盡管其他間諜軟件采用了包括VMProtect混淆在內的高級反分析技術，卡巴斯基仍從代碼中提取出該惡意軟件的名稱，并將其識別為Dante。研究人員發現，一款同名的商業間諜軟件由 Memento Labs（HackingTeam 品牌重塑后的繼任者）進行推廣。此外，卡巴斯基GReAT團隊獲取的HackingTeam遠程控制系統間諜軟件的最新樣本，也與Dante存在相似之處。

“盡管間諜軟件供應商的存在在業內眾所周知，但其產品始終較為隱蔽——尤其是在識別極其困難的針對性攻擊中。要揭示 Dante 的起源，必須層層剝離重度混淆的代碼，追蹤數年惡意軟件演變中零星的罕見痕跡，并將其與企業血統關聯起來。或許這正是其命名為Dante（但丁）的緣由——任何試圖追溯其根源的人都將踏上一段穿越地獄般的艱險旅程，”卡巴斯基全球研究與分析團隊首席安全研究員Boris Larin說。

為避免被探測到， Dante（但丁）采用了一種獨特的方式，先對周圍環境進行分析，再判斷能否安全執行其功能。

研究人員將LeetAgent的首次使用追溯至2022年，并發現ForumTroll APT組織對俄羅斯和白俄羅斯的機構及個人發動了更多攻擊。該威脅組織以精湛的俄語能力和對當地文化細節的掌握而顯得突出，卡巴斯基在與此 APT 威脅相關的其他活動中也觀察到了這些特點。但是，攻擊者偶爾出現的語言錯誤表明他們的母語并非俄語。

利用LeetAgent的攻擊最初是由卡巴斯基Next XDR專家版檢測到的。關于此項研究的完整細節，以及ForumTroll APT組織和Dante惡意軟件的最新動態，可供APT報告服務客戶通過卡巴斯基威脅情報門戶網站查詢。（曾憲勇）