Il Global Research and Analysis Team (GReAT) di Kaspersky ha individuato un nuovo spyware denominato Dante, sviluppato da Memento Labs, l’azienda che ha raccolto l’eredità della storica HackingTeam.
La scoperta arriva dopo anni di inattività del gruppo e fa luce su una campagna di cyberspionaggio di alto livello. L’indagine è parte dell’operazione ForumTroll, una minaccia APT (Advanced Persistent Threat) che ha sfruttato una vulnerabilità zero-day di Google Chrome (CVE-2025-2783).

Dalla campagna ForumTroll alla nascita di Dante

Secondo Kaspersky, l’attacco è iniziato con e-mail di phishing travestite da inviti al forum “Primakov Readings”. I messaggi erano diretti a media, istituti accademici e organizzazioni governative in Russia.
L’analisi ha rivelato l’uso di un malware chiamato LeetAgent, riconoscibile per i comandi scritti in leetspeak — un dettaglio raro tra i gruppi APT.
Successivamente, i ricercatori hanno individuato un secondo spyware, più sofisticato, lanciato direttamente da LeetAgent: era Dante. Le analogie tra i due codici e il medesimo framework di caricamento hanno confermato la connessione con la filiera HackingTeam–Memento Labs.

Dante: uno spyware complesso e difficile da individuare

Il nuovo Kaspersky Dante spyware adotta tecniche di offuscamento avanzate, tra cui VMProtect, per nascondere le proprie tracce.
Inoltre, analizza l’ambiente circostante prima di attivarsi, assicurandosi di operare solo in condizioni sicure.
Queste caratteristiche rendono Dante uno degli strumenti di cyberspionaggio più complessi degli ultimi anni.
Come ha spiegato Boris Larin, Principal Security Researcher del GReAT:

“Scoprire l’origine di Dante è stato un vero viaggio infernale: anni di evoluzione del codice, livelli di offuscamento e poche impronte digitali utili.”

Le tracce di LeetAgent e gli attacchi recenti

L’attività di LeetAgent risale al 2022, con nuovi attacchi identificati in Russia e Bielorussia. Il gruppo ForumTroll APT mostra una padronanza della lingua russa e una conoscenza profonda del contesto locale, anche se alcuni indizi suggeriscono origini non native.
L’attacco, rilevato per la prima volta da Kaspersky Next XDR Expert, dimostra come le campagne APT continuino a evolversi con approcci sempre più mirati e invisibili.

Ricerca continua e protezione globale

I dettagli tecnici della scoperta, inclusi gli indicatori di compromissione (IoC), sono disponibili per i clienti del servizio di report APT tramite il Kaspersky Threat Intelligence Portal e su Securelist.com.
Il lavoro del GReAT, composto da oltre 35 esperti globali, continua a essere uno dei pilastri della ricerca in ambito cybersecurity e malware intelligence, con l’obiettivo di individuare le minacce più sofisticate e tutelare governi, aziende e utenti in tutto il mondo.