Après des années de silence, un nouveau logiciel espion Hacking Team a été détecté. Le spyware Dante est développé par la société italienne ayant désormais pour nom Memento Labs. Il a été repéré dans une campagne de cyberespionnage exploitant une vulnérabilité zero-day de Google Chrome.
En mars 2025, une enquête de Kaspersky sur une campagne de cyberespionnage baptisée Operation ForumTroll a mis au jour une vulnérabilité critique et zero-day dans Google Chrome (CVE-2025-2783).Cette campagne, visant des entités russes via des e-mails de phishing, a servi de point de départ à une découverte bien plus vaste, l'identification d'un logiciel espion commercial de pointe, nommé Dante.
La chaîne d'attaque de l'opération ForumTroll
Le mode opératoire débute par un e-mail de phishing contenant un lien malveillant personnalisé, qui, une fois cliqué, exploite la faille zero-day pour s'introduire dans le système sans autre action de l'utilisateur.
Les e-mails, se faisant passer pour des invitations au forum Primakov Readings, étaient particulièrement bien rédigés. Selon Kaspersky, " la maîtrise du russe et la connaissance des subtilités locales sont des caractéristiques distinctives du groupe ForumTroll ", bien que certaines erreurs suggèrent que les attaquants n'étaient pas des locuteurs natifs.
Le premier malware installé est un outil LeetAgent, qui se charge de la communication avec le serveur de commande et contrôle.
La découverte du spyware Dante
Dante n'a pas été directement utilisé dans la campagne ForumTroll initiale. Sa découverte est le fruit d'un travail d'investigation plus large sur les outils du groupe.
Les chercheurs ont retracé l'usage de LeetAgent jusqu'à des attaques datant de 2022 et ont identifié des cas où ce dernier servait de loader pour un malware logiciel bien plus avancé : le spyware Dante.
Ce dernier est développé par la société italienne Memento Labs, qui n'est autre que le nouveau nom de la controversée Hacking Team, tristement célèbre pour son logiciel de surveillance RCS.
Une capacité à s'autodétruire pour DanteDante est un outil d'espionnage modulaire et particulièrement discret. Pour échapper à la détection, il intègre de multiples techniques, comme l'offuscation via VMProtect, et vérifie activement la présence d'outils d'analyse ou de machines virtuelles en inspectant les journaux d'événements de Windows.
L'une de ses particularités est sa capacité à s'autodétruire, effaçant toute trace de son activité s'il ne reçoit pas de commandes de son serveur après une période définie.
Bien que Kaspersky n'ait pas pu récupérer les modules d'espionnage spécifiques, les similarités de code avec les dernières versions du spyware RCS de Hacking Team confirment une filiation directe et un développement continu.
merci à GNT
