Генеральный директор итальянского поставщика spyware Memento Labs (Hacking Team) подтвердил выводы расследования Лаборатория Касперского в отношении кампании Operation ForumTroll, нацеленной на объекты в частном и государственном секторах Белоруссии и России.

Как мы уже упоминали, цепочка атак включала задействование уязвимости нулевого дня Google Chrome (CVE-2025-2783), а также шпионского арсенала платформы Dante, включая инфраструктуру, эксплойты и полезную нагрузку - имплант/агент LeetAgent.

Причем деятельность Memento Labs детектировалась по всей России в том или ином объеме также исследователями других ИБ-компаний.

Dr.Web обнаружила одну из фишинговых операций Memento Labs в сентябре 2024 года.

F6 упоминала атаки Dante APT в своем аналитическом отчете «Киберугрозы в России и СНГ 2024/25».

Positive Technologies изначально отслеживала группу как TaxOff и Team46, а затем связала эти две операции после выхода отчёта ЛК по ForumTroll в марте.

Гендир Паоло Лецци сообщил изданию TechCrunch, что шпионское ПО было установлено одним из его клиентов - государственным заказчиком, который задействовал в операции старую версию Dante, поддержку которого Memento планирует прекратить к концу года.

Соответственно, конкретного клиента Лецци не назвал, вообще удивился, что кто-то использует эту версию Dante, пообещав во всем разобраться и разослать всем своим клиентам сообщение с просьбой прекратить использование шпионского ПО для Windows.

При этом якобы Memento уже обращалась ко всем своим клиентам с просьбой прекратить использование вредоносного ПО для Windows, предупреждая также о том, что представители ЛК обнаружили заражения шпионским ПО Dante ещё в декабре 2024 года.

Руководитель Memento также отметил, что в настоящее время компания разрабатывает шпионское ПО исключительно для мобильных платформ.

Компания также ведет работу по поиску 0-day и разработке соответствующих эксплойтов для их использования в работе своего шпионского софта. Но, как он признался, в основном приобретает эксплойты от сторонних разработчиков. 

Безусловно, не можем не согласиться, что с Лецци по поводу теперь уже однозначно «устаревшего» софта, который после отчета ЛК и коллег можно действительно выкидывать в урну.

Судя по активности ForumTroll, по всей видимости, никаких предупреждений могло и не быть (до выхода отчета ЛК).

Ведь вложенные инвестиции в начальную разработку и затем новую иттерацию флагманского софта нужно же отбивать до последнего евро (а еще и заработать).