Phần mềm gián điệp của nhóm hacker khét tiếng bất ngờ xuất hiện trở lại

Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky (GReAT) vừa phát hiện bằng chứng cho thấy Memento Labs, công ty kế nhiệm HackingTeam, có liên quan tới làn sóng tấn công gián điệp mạng (cyber espionage) mới. 

Cụ thể, vào tháng 3-2025, Kaspersky GReAT đã vạch trần ForumTroll, một chiến dịch gián điệp mạng tinh vi khai thác lỗ hổng zero-day CVE-2025-2783 trong Chrome.

Nhóm đứng sau chiến dịch này đã gửi email lừa đảo (phishing) được cá nhân hóa, giả mạo thư mời tham dự diễn đàn Primakov Readings, nhắm đến các cơ quan truyền thông, các tổ chức Chính phủ, giáo dục và tài chính tại Nga.

Trong quá trình điều tra chiến dịch ForumTroll, các nhà nghiên cứu đã phát hiện phần mềm gián điệp LeetAgent (xuất hiện từ năm 2022).

Phần mềm này nổi bật với các lệnh điều khiển được viết bằng “leetspeak” - một tính năng hiếm gặp trong phần mềm độc hại dạng APT (tấn công có chủ đích).

Kaspersky GReAT phát hiện phần mềm gián điệp mới của HackingTeam đang hoạt động sau nhiều năm im ắng

Từ quá trình quan sát, phân tích một số trường hợp, các chuyên gia xác định LeetAgent là công cụ khởi chạy phần mềm gián điệp tinh vi kia, hoặc cả hai cùng sử dụng chung một loader framework, bộ khung nạp mà tin tặc dùng để tải, kích hoạt hoặc triển khai các thành phần mã độc khác vào hệ thống của nạn nhân.

Nhờ đó, các chuyên gia đã xác nhận mối liên hệ giữa hai loại mã độc cũng như sự liên quan giữa các cuộc tấn công.

Phần mềm gián điệp còn lại che giấu mã độc bằng cách sử dụng các kỹ thuật chống phân tích tiên tiến, bao gồm công nghệ làm rối mã VMProtect. Mặc dù vậy, các chuyên gia từ Kaspersky vẫn trích xuất được tên của mã độc này từ mã nguồn là Dante.

Các nhà nghiên cứu xác định Dante là tên của một phần mềm gián điệp thương mại được phát triển và quảng bá bởi Memento Labs, công ty kế nhiệm và đổi tên thương hiệu từ HackingTeam.

Thêm vào đó, các mẫu mới nhất của Remote Control System (RCS), phần mềm gián điệp của HackingTeam mà Kaspersky thu thập được, cũng cho thấy sự tương đồng rõ rệt với Dante.

Ông Boris Larin, Trưởng nhóm Nghiên cứu Bảo mật tại Kaspersky GReAT, cho biết sự tồn tại của các đơn vị cung cấp phần mềm gián điệp thương mại vẫn được biết đến rộng rãi trong ngành.

Mặc dù vậy, không dễ để nắm bắt được sản phẩm của các nhà cung cấp này, nhất là trong các cuộc tấn công có chủ đích.

"Để tìm ra nguồn gốc của Dante, chúng tôi phải bóc tách từng lớp mã độc đã được làm rối mã, lần theo một vài dấu vết hiếm hoi trong suốt hàng năm trời phát triển của phần mềm độc hại đó, liên kết đối chiếu để tìm ra nguồn gốc" - ông Boris Larin tiết lộ.

Nhóm tin tặc có tên HackingTeam thành lập từ năm 2003, bởi một số người Ý. Theo các nhà nghiên cứu, nhóm này nổi tiếng với khả năng sử dụng tiếng Nga thành thạo và hiểu biết sâu về bối cảnh địa phương.