كشف فريق البحث والتحليل العالمي في كاسبرسكي (GReAT) عن أدلة دامغة تربط مجموعة Memento Labs – التي أعيد إطلاقها خلفًا لاسم HackingTeam الشهير – بموجة جديدة من هجمات التجسس الإلكتروني المتطورة.
جاء هذا الاكتشاف خلال تحقيقات موسعة في حملة Operation ForumTroll، وهي عملية تهديدات متقدمة مستمرة (APT) استغلت ثغرة أمنية خطيرة في متصفح جوجل كروم.
وعُرضت النتائج لأول مرة أمام نخبة خبراء الأمن العالميين خلال قمة محللي الأمن 2025، التي تحتضنها تايلاند في الفترة من 26 إلى 29 أكتوبر.
خلفية الحملة: استهداف روسي دقيق
في مارس 2025، أزاحت كاسبرسكي الستار عن حملة Operation ForumTroll، التي استهدفت وسائل إعلام روسية ومؤسسات تعليمية وهيئات حكومية عبر رسائل تصيّد احتيالي مموّهة بدعوات لحضور منتدى Primakov Readings.
اعتمدت الهجمات على ثغرة CVE-2025-2783 في متصفح كروم، لتُزرع برمجيتان خبيثتان متداخلتان:
LeetAgent: برمجية تجسس تميّزت بأوامرها المكتوبة بلغة leetspeak – وهي أسلوب نادر في البرمجيات الخبيثة المتقدمة – ورُصد أول استخدام لها عام 2022.
Dante: برمجية أكثر تعقيدًا، تُستخدم تقنيات تخفي متقدمة مثل VMProtect، وتُطلقها LeetAgent في بعض الحالات أو تشترك معها في إطار تحميل مشترك.
الصلة المثبتة بـ Memento Labs
أظهر التحليل العميق تشابهًا لافتًا بين Dante وأحدث إصدارات نظام Remote Control System الذي طوّرته HackingTeam سابقًا. وأكدت كاسبرسكي أن Memento Labs تروّج لبرمجية تجسس تجارية تحمل الاسم ذاته، مما يؤكد استمرارية الأدوات والخبرات رغم تغيير الهوية.
رؤية خبير: “رحلة في أعماق الشيفرة”
يقول بوريس لارين، باحث أمني رئيسي في فريق GReAT: «تُصمم شركات برمجيات التجسس منتجاتها لتذوب في الظلال، مما يصعب ربطها بالهجمات الموجّهة. استلزم تحديد مصدر Dante نزع طبقات من التمويه، وتتبع بصمات نادرة عبر سنوات من التطور، وربطها بأصول الشركات. لهذا اخترنا اسم Dante – فتتبع جذورها كان ر reise متعبة في أعماق الشيفرة المظلمة».
سمات المهاجمين: إتقان مع عيوب
أبدت مجموعة ForumTroll إلمامًا استثنائيًا باللغة الروسية والخصوصيات المحلية في روسيا وبيلاروسيا، لكن أخطاء لغوية دقيقة كشفت أنهم ليسوا ناطقين أصليين – مما يعزز فرضية كونهم جهة خارجية تستخدم أدوات تجارية.
