| Kaspersky-Forscher entdecken Verbindungen zwischen der Cyberspionage-Kampagne Operation ForumTroll und der kommerziellen Spyware Dante. | Kaspersky researchers discover links between the Operation ForumTroll cyber espionage campaign and the commercial spyware Dante. |
| Das Global Research & Analysis Team von Kaspersky hat auf dem Security Analyst Summit 2025 in Thailand bedeutende Enthüllungen präsentiert: Die Cyberspionage-Kampagne „Operation ForumTroll“ steht in direkter Verbindung mit der kommerziellen Spyware Dante von Memento Labs, dem Nachfolger des berüchtigten Spyware-Anbieters Hacking Team.
Operation ForumTroll: Chrome Zero-Day im Fokus Im März 2025 berichtete Kaspersky erstmals über Operation ForumTroll, eine ausgeklügelte Cyberspionage-Kampagne, die eine Zero-Day-Schwachstelle in Chrome (CVE-2025-2783) ausnutzte. Die Angreifer setzten auf personalisierte Phishing-E-Mails, die als offizielle Einladungen zu den renommierten Primakov Readings getarnt waren. Die Ziele der Operation ForumTroll waren sorgfältig ausgewählt: russische Medienhäuser, Bildungseinrichtungen sowie Finanz- und Regierungsorganisationen. Die geografische Ausrichtung konzentrierte sich primär auf Russland und Belarus. LeetAgent und Dante: Zwei Spyware-Programme mit gemeinsamer Infrastruktur Bei der detaillierten Analyse der Kampagne stießen die Kaspersky-Sicherheitsforscher auf die Malware LeetAgent, die durch ihre charakteristischen Kommandos in Leetspeak auffiel. Weitere Untersuchungen führten zur Entdeckung einer zweiten Spyware mit auffallenden Ähnlichkeiten zu LeetAgent. Die Forscher beobachteten, dass in mehreren Fällen beide Programme gemeinsam geladen wurden oder dasselbe Loader-Framework verwendeten – ein klarer Hinweis auf eine gemeinsame technische Infrastruktur. Dante-Spyware: Die Spur zu Memento Labs Trotz VMProtect-Verschleierung, die die zweite Spyware gegen Analysen absichern sollte, gelang es den Kaspersky-Experten, den internen Namen „Dante“ aus dem Code zu extrahieren. Diese Entdeckung erwies sich als Durchbruch: Ein kommerzielles Spyware-Produkt mit exakt diesem Namen wird von Memento Labs vertrieben, dem Nachfolgeunternehmen von Hacking Team. Die Verbindung zu Hacking Team wird durch weitere technische Analysen untermauert: Aktuelle Samples des Remote Control System von Hacking Team zeigen deutliche Ähnlichkeiten zur Dante-Spyware. „Die Existenz kommerzieller Spyware-Anbieter ist bekannt, ihre Produkte bleiben jedoch schwer fassbar“, erklärte Boris Larin, Security Researcher bei Kaspersky. Die erfolgreiche Zuordnung erforderte die aufwändige Analyse verschleierten Codes und die Verfolgung charakteristischer Merkmale über mehrere Jahre hinweg. Technische Besonderheiten der Dante-Spyware Die Dante-Spyware zeichnet sich durch eine spezielle Methode zur Umgebungsanalyse aus. Bevor die Malware aktiv wird, prüft sie systematisch ihre Umgebung, um einer Entdeckung durch Sicherheitssoftware oder Analysetools zu entgehen – eine Technik, die bei kommerzieller Spyware zunehmend Standard wird. Zeitliche Einordnung und Täterprofile Kaspersky konnte die erste Nutzung von LeetAgent bis ins Jahr 2022 zurückverfolgen. Die Angreifer hinter Operation ForumTroll demonstrieren fundierte Russischkenntnisse und lokales Kontextwissen. Gelegentliche sprachliche Fehler deuten jedoch darauf hin, dass es sich vermutlich nicht um Muttersprachler handelt – ein Detail, das bei der Täterprofilierung von Bedeutung sein könnte. Bedeutung für die Cybersicherheit Die Enthüllungen von Kaspersky unterstreichen die wachsende Herausforderung durch kommerzielle Spyware-Anbieter. Die Verbindung zwischen Operation ForumTroll und Memento Labs zeigt, wie professionell entwickelte Überwachungssoftware in gezielten Cyberspionage-Kampagnen zum Einsatz kommt. Die Erkenntnisse vom Security Analyst Summit 2025 verdeutlichen die Notwendigkeit kontinuierlicher Wachsamkeit und fortgeschrittener Analysetechniken im Kampf gegen hochentwickelte Bedrohungen durch kommerzielle Spyware. |
Kaspersky’s Global Research & Analysis Team presented significant revelations at the Security Analyst Summit 2025 in Thailand: The cyber espionage campaign “Operation ForumTroll” is directly linked to the commercial spyware Dante from Memento Labs, the successor to the notorious spyware provider Hacking Team.
Operation ForumTroll: Chrome zero-day in focus In March 2025, Kaspersky first reported on Operation ForumTroll, a sophisticated cyber espionage campaign that exploited a zero-day vulnerability in Chrome (CVE-2025-2783). The attackers relied on personalized phishing emails disguised as official invitations to the prestigious Primakov Readings. The targets of Operation ForumTroll were carefully selected: Russian media companies, educational institutions, and financial and government organizations. The geographical focus was primarily on Russia and Belarus. LeetAgent and Dante: Two spyware programs with a shared infrastructure During a detailed analysis of the campaign, Kaspersky security researchers came across the LeetAgent malware, which stood out due to its characteristic commands in Leetspeak. Further investigations led to the discovery of a second piece of spyware with striking similarities to LeetAgent. The researchers observed that in several cases, both programs were loaded together or used the same loader framework – a clear indication of a shared technical infrastructure. Dante spyware: The trail to Memento Labs Despite VMProtect obfuscation, which was intended to protect the second spyware from analysis, Kaspersky experts managed to extract the internal name “Dante” from the code. This discovery proved to be a breakthrough: a commercial spyware product with exactly this name is distributed by Memento Labs, the successor company to Hacking Team. The connection to Hacking Team is supported by further technical analysis: current samples of Hacking Team’s Remote Control System show clear similarities to the Dante spyware. “The existence of commercial spyware vendors is well known, but their products remain elusive,” explained Boris Larin, security researcher at Kaspersky. Successful attribution required extensive analysis of obfuscated code and tracking of characteristic features over several years. Technical features of Dante spyware Dante spyware is characterized by a special method of environmental analysis. Before the malware becomes active, it systematically checks its environment to avoid detection by security software or analysis tools – a technique that is increasingly becoming standard in commercial spyware. Timeline and perpetrator profiles Kaspersky was able to trace the first use of LeetAgent back to 2022. The attackers behind Operation ForumTroll demonstrate a thorough knowledge of Russian and local context. However, occasional linguistic errors suggest that they are probably not native speakers – a detail that could be significant in profiling the perpetrators. Significance for cybersecurity Kaspersky’s revelations underscore the growing challenge posed by commercial spyware vendors. The connection between Operation ForumTroll and Memento Labs shows how professionally developed surveillance software is being used in targeted cyber espionage campaigns. The findings from the Security Analyst Summit 2025 highlight the need for continuous vigilance and advanced analysis techniques in the fight against sophisticated threats from commercial spyware. |
| Nominiert für die »WOMEN OF THE YEAR«-Awards 2025! Kategorie: IT – CxO Vote for Carolina: https://www.fit-kongress.de/award Link anklicken/ zur Abstimmung/ jetzt starten /Women in IT/ CxO/ Carolina Heyder |
Nominated for the „WOMEN OF THE YEAR“ Awards 2025! Category: IT – CxO Vote for Carolina: https://www.fit-kongress.de/award Click the link / to vote / start now / Women in IT / CxO / Carolina Heyder |
| Die neue Folge des Security Storage and Channel Germany-Podcasts befasst sich mit den Herausforderungen und Chancen der IT im Mittelstand – von Digitalisierung bis Künstlicher Intelligenz. Arnd Backhaus, Managing Director der INNEX GmbH, gewährt spannende Einblicke. Unbedingt reinhören oder einfach das Gespräch lesen. Schauen Sie auch bei Spotify vorbei, um alle Podcast Folgen auf einen Blick zu sehen und zu hören https://open.spotify.com/show/19ipUYoIKbQn6FFR2sifSO | The new episode of the Security Storage and Channel Germany podcast deals with the challenges and opportunities of IT in medium-sized businesses – from digitization to artificial intelligence. Arnd Backhaus, Managing Director of INNEX GmbH, provides exciting insights. Be sure to listen in to the German language audio file or simply read the conversation. Also check out Spotify Podcast Security Storage und Channel Germany |
Carolina Heyder ist ist Business Analyst und Moderatorin. Sie verfügt über langjährige Expertise über den deutschen und internationalen IT Markt.. Sie verfügt über langjährige Erfahrung in renommierten Verlagshäusern wie WEKA-Fachmedien, Springer und Aspencore. Ob Text fürs Web oder Print, Audio oder Video. Am Laptop, vor dem Mikrofon oder der Kamera. Ob in Deutsch, Englisch oder Spanisch, Carolina Heyder ist in der IT-Welt Zuhause. Ihre Themenschwerpunkte sind Cybersecurity, Digitale Transformation, Nachhaltigkeit, Storage u. a.
Carolina Heyder is Editor-in-Chief of Security Storage and Channel Germany as well as a freelance IT journalist and presenter. She has many years of experience at renowned publishing houses such as WEKA-Fachmedien, Springer and Aspencore. Whether text for the web or print, audio or video. On the laptop, in front of the microphone or the camera. Whether in German, English or Spanish, Carolina Heyder is at home in the IT world. Her main topics are cybersecurity, digital transformation, sustainability, storage and others.
Kontakt – Contact via Mail: carolina.heyder@security-storage-und-channel-germany.com