I ricercatori di Kasperky hanno individuato un nuovo malware che sfrutta una vulnerabilità zero-day di Chrome. Analizzando il codice usato durante la campagna Operation ForumTroll è stato scoperto lo spyware commerciale Dante sviluppato da Hacking Team, azienda italiana diventata Memento Labs dopo l’acquisizione da parte di InTheCyber Group nel 2019.
Campagna di spionaggio con Dante
La catena di infezione inizia con l’invio di email di spear phishing a specifici utenti in Russia e Bielorussia. All’interno del messaggio c’è il link al forum Primakov Readings. In realtà, se l’ignara vittima clicca sul link con Chrome (o un altro browser basato su Chromium), viene eseguito un exploit RCE (Remote Code Execution) che sfrutta la vulnerabilità zero-day CVE-2025-2783 (risolta da Google con la patch di fine marzo).
L’exploit riesce ad aggirare la sandbox di Chrome e copia sul computer una DLL infetta che funziona come loader. Viene quindi caricato in memoria lo spyware LeetAgent che, dopo aver ricevuto comandi dal server remoto, raccoglie numerosi dati, tra cui file, documenti e credenziali.
Analizzando il codice ed effettuando un confronto con precedenti attacchi, i ricercatori di Kasperky hanno scoperto che LeetAgent viene usato per eseguire Dante, spyware commerciale sviluppato da Memento Labs. È stato annunciato nel 2023 durante una conferenza dedicata alle forze dell’ordine. Si tratta dell’erede di RCS (Remote Control Systems) di Hacking Team.
Kaskersky ha confermato l’uso di Dante dopo aver aggirato le complesse protezioni implementate per evitare il debugging del codice. Una di esse è l’auto-distruzione. Se non riceve comandi dal server remoto entro il numero di giorni indicato nella configurazione, Dante cancella se stesso ed elimina tutte le tracce. Non sono noti i dettagli sulle funzionalità perché devono essere ancora analizzati i moduli dello spyware.
Ti potrebbe interessare
28 ott 2025