Penemuan ini merupakan hasil investigasi mendalam terhadap "Operasi ForumTroll", sebuah kampanye Advanced Persistent Threat (APT) yang secara canggih mengeksploitasi kerentanan zero-day pada Google Chrome.
Pada bulan Maret 2025, Kaspersky GReAT pertama kali mengungkapkan Operasi ForumTroll, sebuah kampanye spionase siber yang memanfaatkan kerentanan zero-day Chrome, CVE-2025-2783.
Kelompok APT di balik serangan ini diketahui mengirimkan email phishing yang dipersonalisasi, menyamar sebagai undangan ke forum Primakov Readings. Target serangan ini sangat luas, mencakup media Rusia, institusi pendidikan dan keuangan, hingga organisasi pemerintahan.
Selama penyelidikan ForumTroll, para peneliti Kaspersky mengidentifikasi penggunaan spyware bernama LeetAgent oleh para penyerang. LeetAgent memiliki karakteristik unik, yaitu perintahnya ditulis dalam "leetspeak", sebuah fitur yang jarang ditemukan dalam malware APT. Analisis lebih lanjut mengungkap kesamaan antara LeetAgent dan spyware yang lebih canggih yang sebelumnya diamati oleh Kaspersky GReAT dalam serangan lain.
Setelah mengonfirmasi bahwa dalam beberapa kasus, spyware canggih ini diluncurkan oleh LeetAgent atau memiliki kerangka kerja loader yang sama, para peneliti berhasil mengkonfirmasi hubungan antara keduanya, serta antara kedua jenis serangan tersebut.
Meskipun spyware lain menggunakan teknik anti-analisis yang canggih, termasuk obfuscation VMProtect, Kaspersky berhasil mengidentifikasi malware ini sebagai Dante dari kode yang ditemukan. Para peneliti kemudian menemukan bahwa spyware komersial dengan nama yang sama dipromosikan oleh Memento Labs, yang merupakan nama baru dari HackingTeam. Selain itu, sampel terbaru dari spyware Sistem Kontrol Jarak Jauh HackingTeam yang diperoleh Kaspersky GReAT menunjukkan kesamaan yang signifikan dengan Dante.
Boris Larin, kepala peneliti keamanan di Kaspersky GReAT, menyatakan, meskipun keberadaan vendor spyware sudah dikenal luas di industri ini, produk mereka tetap sulit dipahami, terutama dalam serangan tertarget yang identifikasinya sangat sulit.
"Mengungkap asal-usul Dante menuntut pengupasan lapisan kode yang sangat tersembunyi, melacak beberapa sidik jari langka selama bertahun-tahun evolusi malware, dan menghubungkannya dengan garis keturunan perusahaan. Mungkin itulah alasan mereka menyebutnya Dante, ada perjalanan yang sangat berat bagi siapa pun yang mencoba menemukan akarnya,”
Untuk menghindari deteksi, Dante menggabungkan cara unik dalam menganalisis lingkungannya sebelum memutuskan apakah dapat menjalankan fungsinya dengan aman. Penggunaan pertama LeetAgent telah dilacak hingga tahun 2022, dan serangan tambahan oleh ForumTroll APT ditemukan menargetkan organisasi dan individu di Rusia dan Belarus.
Kelompok ini menonjol karena penguasaan bahasa Rusia yang kuat dan pengetahuan nuansa lokal, meskipun kesalahan yang sesekali muncul menunjukkan bahwa penyerang bukanlah penutur asli.
Serangan yang memanfaatkan LeetAgent pertama kali terdeteksi oleh Kaspersky Next XDR Expert. Detail lengkap riset ini, bersama dengan informasi terbaru tentang ForumTroll APT dan Dante, tersedia bagi pelanggan layanan pelaporan APT melalui Kaspersky Threat Intelligence Portal.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
