C'è un team italiano dietro gli attacchi 0day su Chrome: cosa ha scoperto Kaspersky

La società di sicurezza informatica Kaspersky ha pubblicato dettagli approfonditi su una campagna di spionaggio informatico denominata ForumTroll, rivelando il coinvolgimento di Memento Labs, azienda italiana successore della nota Hacking Team. L'indagine ha portato alla luce l'esistenza di Dante, uno spyware commerciale sofisticato che era rimasto finora sconosciuto alla comunità della sicurezza informatica. Le tracce di attività dannose risalgono almeno al 2022 e hanno interessato principalmente enti governativi, istituzioni finanziarie, università e organi di stampa situati in territorio russo e bielorusso.

L'ultima analisi pubblicata da Kaspersky su Memento Labs risale allo scorso fine settimana. Il gruppo rappresenta l'evoluzione diretta di Hacking Team, fornitore milanese di strumenti di sorveglianza che ha cessato le attività originarie nel 2019 dopo essere stato acquisito da InTheCyber Group. Lo studio ha permesso di stabilire con elevata confidenza che Dante condivide numerose somiglianze nel codice con il malware RCS (Remote Control System) sviluppato in passato da Hacking Team. L'attribuzione è stata possibile grazie all'analisi approfondita del malware, che ha rivelato riferimenti espliciti alla versione "2.0" e numerose analogie strutturali con le ultime release di RCS.

L'operazione ForumTroll si caratterizza per un approccio tecnico particolarmente sofisticato: le vittime ricevevano messaggi di posta elettronica contenenti inviti apparentemente legittimi a partecipare al forum Primakov Readings, evento internazionale dedicato alla politica e all'economia globale. I collegamenti incorporati nelle email erano personalizzati per ciascun destinatario e progettati per rimanere attivi solo per brevi periodi, cosa che ha reso estremamente difficile il rilevamento da parte dei sistemi di sicurezza. La semplice apertura del link dannoso attraverso Chrome o qualsiasi browser basato su Chromium era sufficiente per avviare la compromissione del sistema.

Il vettore di attacco sfruttava in particolare la falla nota come CVE-2025-2783, una vulnerabilità zero-day nel sistema di comunicazione inter-processo Mojo utilizzato internamente da Chrome. La vulnerabilità consentiva agli aggressori di evadere dalla sandbox del browser, ottenendo così l'esecuzione di shellcode direttamente nel processo del browser della vittima. Google ha rilasciato una correzione per CVE-2025-2783 con la versione 134.0.6998.178 il 26 marzo, mentre Mozilla ha risolto il problema correlato in Firefox (identificato come CVE-2025-2857) nella versione 136.0.4 del proprio browser.

L'analisi tecnica ha rivelato la presenza di un componente denominato LeetAgent, uno spyware modulare che si distingue per una caratteristica peculiare: l'implementazione dei comandi utilizza il leetspeak, una forma di scrittura alfanumerica tipica delle comunità hacker. Le capacità di LeetAgent includono l'esecuzione remota di comandi, operazioni sui file, registrazione delle pressioni dei tasti (keylogging) e sottrazione di dati sensibili, con gli esperti di Kaspersky che ritengono che LeetAgent possa essere anch'esso uno strumento di spyware commerciale, data la sua sofisticazione e modularità.

I ricercatori hanno documentato l'utilizzo di LeetAgent in attacchi risalenti al 2022, trovando evidenze del suo impiego come vettore iniziale per l'installazione successiva di Dante. La catena di infezione prevede l'installazione di un caricatore persistente che inietta una DLL dannosa, la quale a sua volta decrittografa e attiva il payload principale. LeetAgent opera come primo stadio dell'infezione, preparando il terreno per l'installazione di strumenti più avanzati quando necessario. Dante rappresenta un prodotto commerciale particolarmente avanzato, caratterizzato da un'architettura modulare che recupera i componenti operativi da un server di comando e controllo. Attraverso la sua struttura modulare, gli operatori possono personalizzare le funzionalità dello spyware in base agli obiettivi specifici di ciascuna operazione. Lo strumento adopera, inoltre, un meccanismo di autodistruzione: se non riceve comunicazioni dal server degli attaccanti per un periodo predeterminato, Dante elimina autonomamente se stesso e tutte le tracce della propria attività dal sistema compromesso.

L'analisi del malware è stata resa particolarmente complessa dall'utilizzo di VMProtect, uno strumento di protezione del codice che implementa l'offuscamento del flusso di controllo, nasconde le funzioni importate e aggiunge controlli anti-debugging. Praticamente ogni stringa contenuta nel codice risulta cifrata, rendendo l'analisi statica estremamente laboriosa. I ricercatori di Kaspersky non sono riusciti a recuperare moduli specifici per l'analisi dettagliata, pertanto le capacità complete dello spyware Dante rimangono in gran parte non documentate.

Sebbene Kaspersky abbia attribuito con elevata confidenza lo spyware Dante a Memento Labs, rimangono questioni aperte riguardo l'identità degli autori dell'exploit zero-day per Chrome. Gli esperti sottolineano che lo sviluppatore della vulnerabilità CVE-2025-2783 potrebbe essere un soggetto diverso rispetto al fornitore dello spyware, suggerendo una possibile collaborazione tra diversi attori nel mercato degli strumenti di sorveglianza commerciali. L'indagine evidenzia come il panorama degli spyware commerciali sia ampio e spesso sfuggente, con numerose aziende attive nel settore le cui "soluzioni" raramente vengono scoperte o identificate pubblicamente.