Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), Memento Labs’in yeni bir siber casusluk faaliyetiyle bağlantılı olduğunu tespit etti. Bu bulgular, Google Chrome’da keşfedilen bir sıfırıncı gün açığını hedef alan Operation ForumTroll adlı gelişmiş kalıcı tehdit (APT) kampanyasının incelenmesi sırasında ortaya çıktı.
Operation ForumTroll, Mart 2025’te Kaspersky GReAT tarafından keşfedilen bir siber saldırı kampanyasıdır ve CVE-2025-2783 numaralı Chrome açığını istismar eder. Saldırganlar, Rusya’daki medya, eğitim ve kamu kurumlarını hedef almak amacıyla Primakov Readings forumuna davet izlenimi veren kişiselleştirilmiş oltalama e-postaları kullandı.
Araştırmacılar, saldırganların LeetAgent adlı nadir görülen bir casus yazılım kullandığını belirledi. Bu yazılımın komutları leetspeak olarak yazılmıştı. Daha sonra yapılan analizler, LeetAgent ile Kaspersky GReAT’ın daha önceki saldırılarda gözlemlediği gelişmiş bir casus yazılım arasında bağlantı olduğunu ortaya koydu.
Bu gelişmiş casus yazılımın iç kodunda “Dante” adı yer alıyordu. Kaspersky, aynı isimle Memento Labs tarafından pazarlanan bir casus yazılım ürünü olduğunu ve HackingTeam’in yeniden markalanmış bir sürümü olduğunu açıkladı. Dante ile HackingTeam’in Remote Control System (RCS) casus yazılımı arasında yapısal benzerlikler tespit edildi.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Boris Larin, Dante casus yazılımının kökenini ortaya çıkarmak için yoğun kod analizleri ve uzun yıllara yayılan verilerin tarandığını belirtti. Larin, yazılımın adının Dante olmasının nedeninin bu zorlu süreç olabileceğini ifade etti.
LeetAgent, ilk olarak 2022 yılında tespit edildi ve ForumTroll grubunun Rusya ve Belarus’taki hedeflere yönelik saldırıları gözlemlendi. Saldırganlar, Rusça bilgilerindeki gülücükler ve yerel ayrıntı bilgisiyle dikkat çekti ancak yapılan bazı hatalar ana dillerinin Rusça olmadığını düşündürdü.
