Mem3nt0 mori: jak Kaspersky powiązał APT ForumTroll ze szpiegowskim Dante od Memento Labs (ex-Hacking Team) - Security Bez Tabu

Mem3nt0 mori: jak Kaspersky powiązał APT ForumTroll ze szpiegowskim Dante od Memento Labs (ex-Hacking Team)

Wprowadzenie do problemu / definicja luki

Kaspersky opisał dziś kulisy kampanii Operation ForumTroll (marzec 2025), w której kliknięcie spersonalizowanego linku phishingowego prowadziło do cichej infekcji przez przeglądarkę Chrome. Badacze wykryli i zgłosili nową podatność CVE-2025-2783 (sandbox escape w komponencie Mojo), którą Google załatał w stabilnym wydaniu 134.0.6998.177/.178 z 25 marca 2025 r.

W toku dalszej analizy Kaspersky powiązał tę kampanię i pokrewny arsenał z komercyjnym spyware “Dante” rozwijanym przez Memento Labs — firmę, którą świat znał wcześniej jako Hacking Team.

W skrócie

  • Wejście: e-mail phishingowy ze spersonalizowanym, krótkotrwałym URL-em; sama wizyta w witrynie uruchamiała exploit 0-day na Chrome (Windows).
  • Eksploit: CVE-2025-2783 — eskalacja z sandboksa (Mojo/IPC), potwierdzona przez Google i NVD; poprawka 25.03.2025.
  • Łańcuch: validator → exploit → persistent loader → etap LeetAgent → właściwe moduły szpiegowskie (Dante).
  • Atrybucja: zbieżności kodu, TTP, ścieżek FS, mechanizmów trwałości oraz jawne ciągi “Dante” w binariach; kontynuacja linii RCS (Da Vinci/Galileo) po rebrandingu Hacking Team → Memento Labs.

Kontekst / historia / powiązania

Hacking Team to jedna z najbardziej rozpoznawalnych marek rynku spyware (RCS: Da Vinci/Galileo). Po wycieku ~400 GB danych w 2015 r. firma została w 2019 r. przejęta przez InTheCyber i przemianowana na Memento Labs. W 2023 r. na konferencji ISS World MEA firma ujawniła nazwę nowego produktu: DANTE. Według Kaspersky’ego kod RCS ewoluował do 2022 r., gdy został zastąpiony przez Dante.

Szersze mapowanie rynku komercyjnego spyware (NSO/Intellexa/Candiru/Paragon/Quadream/RCS Labs/Memento Labs itd.) potwierdza ciągłość działalności dostawców po rebrandingu.

Analiza techniczna / szczegóły luki

Łańcuch ataku (high-level)

  1. Phishing URL (krótko żyjący, spersonalizowany) → 2. Validator (sprawdza środowisko) → 3. Exploit CVE-2025-2783 (ucieczka z sandboksa Chrome/Windows) → 4. Persistent loader (utrwalenie) → 5. LeetAgent (staging/koordynacja) → 6. Dante (moduły szpiegowskie).

CVE-2025-2783 (Chrome Mojo)

  • Błąd klasy incorrect handle w Mojo IPC na Windows umożliwiający sandbox escape przy udziale złośliwego pliku/strony.
  • Status: wykryty in-the-wild, załatany 25.03.2025; zgłaszający: Boris Larin, Igor Kuznetsov (Kaspersky); wektor CVSS3.1 wg CISA-ADP: AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H (8.3).

Artefakty i IOCs (wybrane wzorce)

  • Folder modułów: w %LocalAppData%, nazwy katalogu i plików bez rozszerzeń to 8-bajtowe Base64; jeden z plików ma nazwę równą katalogowi — to pomocny wzorzec detekcyjny aktywnej infekcji.
  • Próbki: Kaspersky publikuje skróty (loader/LeetAgent/Dante) w sekcji IOCs.

Atrybucja do Dante / Memento Labs

  • Po zdjęciu VMProtect odkryto ciągi “Dante” oraz odniesienie do wersji “2.0” zgodne z nazwą prelekcji ISS World MEA 2023; wykryto liczne podobieństwa kodowe między późnymi próbkami RCS a Dante. Wniosek: nowy produkt zastąpił dotychczasową bazę w 2022 r.

Praktyczne konsekwencje / ryzyko

  • Ataki bezklikalne po kliknięciu linku: samo otwarcie strony w Chrome wystarczało do naruszenia (brak dodatkowej interakcji).
  • Ryzyko pełnego przejęcia hosta: sandbox escape w Chrome połączony z loaderem i modułami daje zdolności pełnego szpiegostwa (zrzuty ekranu, exfiltracja, keylogging, audio/wideo — typowe dla linii RCS/Dante).
  • Cele wysokoprofilowe: charakter kampanii (APT, spear-phishing, krótkotrwała infrastruktura) wskazuje na ukierunkowaną cyber-szpiegowską operację.

Rekomendacje operacyjne / co zrobić teraz

1) Natychmiastowe działania IT/SecOps

  • Zaktualizuj Chrome do ≥ 134.0.6998.177/.178 (Windows); sprawdź kanał Extended Stable.
  • Hunting po artefaktach: przeszukaj %LocalAppData% pod kątem katalogów/plików nazwanych 8-bajtowym Base64 (bez rozszerzeń) oraz zbieżnych mechanizmów trwałości. Zweryfikuj hosty z podejrzanymi folderami.
  • Weryfikacja IOCs: porównaj próbki z hashami opublikowanymi przez Kaspersky (loader/LeetAgent/Dante).

2) Detekcja i twardnienie

  • EDR/XDR: reguły pod CVE-2025-2783 (Mojo/handle dup), ładowanie niezaufanych DLL, nietypowe child-procesy Chrome → LOLBins, tworzenie trwałości przez rzadko używane ścieżki użytkownika. (Wzorce zgodne z opisem łańcucha Kaspersky).
  • Gateway/Proxy: czasowo-ograniczone, spersonalizowane URL-e — wzmacniać detekcję na krótko żyjące domeny, TLS fingerprinting, anomalię HTTP.
  • Kontrola przeglądarki: polityki blokujące ładowanie Mojo IPC z nieznanych źródeł, ograniczanie rozszerzeń, izolacja profili uprzywilejowanych.

3) Zarządzanie podatnościami

  • CVE-2025-2783 znajduje się w CISA KEV — egzekwuj priorytetową poprawkę zgodnie z terminem BOD 22-01 (organizacje publiczne/regulated).

4) Świadomość i procedury

  • Trenuj rozpoznawanie spear-phishingu i politykę bezpiecznego otwierania linków (otwieranie w przeglądarce izolowanej/VDI dla wrażliwych ról).

Różnice / porównania z innymi przypadkami

  • Pegasus/Intellexa/Candiru vs. Dante: ekosystemy różnią się łańcuchami eksploatacji (mobilne vs. desktopowe), ale model biznesowy (ofensywne zdolności dla rządów) i ukrywanie tożsamości w kodzie są wspólne. W przypadku Dante rzadki jest wprost odnaleziony znacznik nazwy w binariach, co ułatwiło atrybucję.
  • RCS (Da Vinci/Galileo) → Dante: ciągłość kodowa i TTP sugeruje ewolucję produktu po rebrandingu Hacking Team → Memento Labs (2022: przejście na Dante).

Podsumowanie / kluczowe wnioski

  • Operation ForumTroll to przykład APT-grade browser exploit chain: phishing → Chrome 0-day (CVE-2025-2783) → staged spyware. Google załatał błąd 25.03.2025.
  • Atrybucja do Dante/Memento Labs została potwierdzona kombinacją cech kodu, TTP i artefaktów — to “powrót” Hacking Team w nowej odsłonie.
  • Organizacje powinny patchować, huntować wg wzorców FS/IOC, wzmacniać EDR/XDR i segmentować ryzyko przeglądarki.

Źródła / bibliografia

  1. Kaspersky Securelist – “Mem3nt0 mori – The Hacking Team is back! / How we linked ForumTroll APT to Dante spyware” (analiza łańcucha, IOCs, atrybucja do Dante/Memento Labs), 27.10.2025. (Securelist)
  2. Google – Chrome Releases: Stable Channel Update for Desktop 134.0.6998.177/.178 (potwierdzenie CVE-2025-2783; “exploited in the wild”), 25.03.2025. (Chrome Releases)
  3. NVD (NIST) – CVE-2025-2783 (opis, odwołanie do CISA KEV, wektor CVSS), aktual. 24.10.2025. (NVD)
  4. Kaspersky Blog – Operation ForumTroll: APT attack with Google Chrome zero-day exploit chain, 25.03.2025. (Securelist)
  5. Atlantic Council – “Mythical Beasts and where to find them: Mapping the global spyware market…” (kontekst rynku, Memento Labs/Hacking Team), 04.09.2024. (Atlantic Council)