Aggiornamenti recenti Ottobre 27th, 2025 12:07 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Dante, lo spyware italiano usato in campagne di cyberspionaggio
- CERT-AGID 18–24 ottobre: phishing a tema PagoPA e Fascicolo Sanitario
- Il Pwn2Own Irlanda si è concluso con oltre 1 milione di dollari di vincite
- Lazarus ha colpito alcune compagnie europee del settore della difesa
- Arriva “Zyxel Commercialisti Italia”, iniziativa per educare i professionisti alla cybersecurity
Dante, lo spyware italiano usato in campagne di cyberspionaggio
Dante, un sofisticato e finora sconosciuto spyware italiano sviluppato da Memento Labs (ex Hacking Team), è stato utilizzato in diversi attacchi legati a Operation ForumTroll, una campagna di spionaggio contro obiettivi russi e bielorussi attribuita al gruppo ForumTroll APT. A scoprirlo è stato il team di ricercatori di Kaspersky guidato da Boris Larin, Principal Security Researcher di Kaspersky.
Nelle email gli attaccanti invitavano le vittime (dipendenti di, tra le altre realtà, università ed enti governativi) a partecipare a eventi professionali cliccando su un link personalizzato. La caratteristica più allarmante di questi attacchi stava nella semplicità con cui avveniva l’infezione: bastava che l’utente aprisse il link per aprire una pagina malevola che distribuiva il malware.
“A marzo 2025, Kaspersky ha individuato una serie di infezioni che avvenivano non appena un utente cliccava su link personalizzati di phishing inviati via email. Non servivano altre azioni per dare inizio all’infezione; visitare il sito web malevolo usando Chrome o un altro browser basato su Chromium era sufficiente” ha affermato Larin.
La campagna ha sfruttato la CVE-2025-2783, una vulnerabilità di Chrome presente nella logica di gestione degli pseudo-handle di Windows che permette di aggirare la protezione sandbox del browser, scoperta da Kaspersky e risolta da Google.
Superato questo livello di protezione, ForumTroll APT è riuscito a stabilire la persistenza sui dispositivi delle vittime, eseguire il loader e caricare LeetAgent, un malware usato per il cyberspionaggio. Lo spyware si connette a uno dei server C2 del gruppo, quello specificato nella configurazione in uso, ed è in grado di riceve ed eseguire comandi per, tra gli altri, ottenere la lista dei task che sta eseguendo, scrivere e leggere file, iniettare shellcode e soprattutto effettuare keylogging ed esfiltrare file. Di default, lo spyware cerca e raccoglie file con estensioni *.doc, *.xls, *.ppt, *.rtf, *.pdf, *.docx, *.xlsx, *.pptx.
Dante: la firma italiana dietro un nuovo cluster di attacchi
Oltre alle catene di infezione con LeetAgent scoperte in Operation ForumTroll, i ricercatori hanno identificato un altro cluster di attacchi che usava uno spyware molto più sofisticato. Anche in questo caso il malware era stato usato almeno dal 2022 e la catena di infezione cominciava sempre con email di phishing con link malevoli.
“Gli attaccanti dietro questa attività hanno usato path di sistema simili e la stessa tecnica di persistenza del cluster di LeetAgent” ha spiegato Larin. “Questo ci ha fatto sospettare che i due cluster potessero essere legati e siamo riusciti a confermare questa connessione diretta quando abbiamo scoperto gli attacchi dove LeetAgent eseguiva questo spyware molto più sofisticato“.
Analisi aggiuntive hanno portato all’identificazione di Dante, uno spyware commerciale sviluppato da Memento Labs. Noto precedentemente come Hacking Team, è uno dei vendor storici più noti, fondato nel 2003. Il gruppo è conosciuto soprattutto per aver sviluppato Remote Control System (RCS), uno spyware utilizzato da diversi governi.
Dopo essere stata acquisita da InTheCyber Group nel 2019 ed essere stata rinominata “Memento Labs”, nel 2023 la compagnia ha annunciato Dante, un nuovo tool di sorveglianza di cui non si conosceva molto, almeno finora.
Dall’analisi di Kaspersky è emerso che lo spyware utilizza VMProtect, una tecnica di anti-analisi complessa che offusca il flusso di controllo e le funzioni importate. Dante usa inoltre una tecnica di anti-hooking per eludere il monitoraggio che risolve dinamicamente le API e crea degli stub per le chiamate di sistema.
In aggiunta, per non essere individuato, lo spyware controlla il log degli eventi di Windows per verificare se ci sono in uso macchine virtuali o strumenti di analisi contro il malware, controllando di fatto se l’ambiente è sicuro per continuare l’esecuzione.
Dopo aver effettuato e superato tutti i controlli, Dante decripta la propria configurazione e l’orchestratore, il modulo centrale del malware che si occupa di comunicare col server C2, gestire gli altri moduli e la configurazione, eseguire controlli di protezione e, in caso di necessità, come per esempio quando non riceve dei comandi per un certo numero di giorni, auto-cancellarsi.
Al momento il team di Kaspersky non è riuscito a individuare e analizzare altri moduli dello spyware perché sembra che non ci siano altre infezioni in corso.
Il segretissimo Dante, che Memento Labs è riuscita a tenere nascosto fino a ora, è stato alla fine scoperto e analizzato, almeno per quanto riguarda il modulo principale e le sue tecniche di elusione. “Nel 2019, il nuovo proprietario di Hacking Team aveva dichiarato in un’intervista che voleva cambiare tutto e ricominciare da zero. Ci è voluto del tempo, ma nel 2022 quasi tutto ciò che riguardava Hacking Team era stato rifatto. Ora che Dante è stato scoperto, forse è il momento di ricominciare da capo” ha concluso Larin.
L’uso di Dante per operazioni di phishing porta alla luce una problematica che continua a essere presa sottogamba, ovvero l’uso di spyware commerciali per eseguire operazioni malevole. La maggior parte degli sforzi di cybersecurity si concentra su tool e malware sviluppati dagli attaccanti, ponendo meno attenzione del dovuto sui prodotti dei vendor, nonostante siano in generale piuttosto conosciuti. Il fatto che gli spyware commerciali vengano identificati raramente consente ai cybercriminali di agire più facilmente.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Dante, lo spyware italiano usato in campagne di... Dante, un sofisticato e finora sconosciuto spyware... -
Cyberattacchi: estorsioni e ransomware dietro la metà... Le campagne di estorsione e i ransomware continuano a... -
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre... -
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo ha... -
La complessità delle password non è così importante. Lo... Aumentare la complessità delle password, richiedendo...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Dante, lo spyware italiano usato in campagne di... Dante, un sofisticato e finora sconosciuto spyware...
-
CERT-AGID 18–24 ottobre: phishing a tema PagoPA e... Nel periodo compreso tra il 18 e il 24 ottobre,... -
Il Pwn2Own Irlanda si è concluso con oltre 1 milione di... Il Pwn2Own di ottobre, tenutosi a Cork, in Irlanda, si... -
Lazarus ha colpito alcune compagnie europee del settore... Una recente analisi di ESET riporta che il gruppo... -
Arriva “Zyxel Commercialisti Italia”,... Zyxel Networks ha presentato “Zyxel Commercialisti...
Ransomware: la serie
No posts found.