APT
Nuestros expertos del Equipo de Análisis e Investigación Global de Kaspersky (GReAT) reconstruyeron la cadena de infección que se utilizó en los ataques del grupo ForumTroll APT. Durante la investigación, descubrieron que las herramientas que utilizó ForumTroll también se usaban para distribuir el malware comercial Dante. Boris Larin hizo una presentación detallada de esta investigación en la conferencia de la Cumbre de Analistas de Seguridad 2025 en Tailandia.
¿Qué es ForumTroll APT y cómo funciona?
En marzo, nuestras tecnologías detectaron una oleada de infecciones en empresas rusas con un sofisticado malware que, hasta entonces, era desconocido. Los ataques utilizaban páginas web de corta duración que explotaban la vulnerabilidad de día cero CVE-2025-2783 en Google Chrome. Los atacantes enviaron correos electrónicos a empleados de medios de comunicación, instituciones gubernamentales, educativas y financieras de Rusia, y les invitaron a participar en el foro científico y de expertos Lecturas de Primakov. Por eso, la campaña recibió el llamativo nombre de “Forum Troll” y el grupo responsable se denominó ForumTroll. Al hacer clic en el enlace del correo electrónico, el dispositivo se infectaba con el malware. El malware que utilizaron los atacantes se denominó LeetAgent porque recibía comandos del servidor de control en ortografía modificada Leet.
Después de la publicación inicial, los expertos del GReAT continuaron investigando la actividad de ForumTroll. En particular, encontraron varios ataques más de parte del mismo grupo a organizaciones e individuos, tanto en Rusia como en Bielorrusia. Además, mientras buscaban los ataques que utilizaron LeetAgent, descubrieron casos de muchos otros tipos de malware más sofisticados que se estaban aplicando.
¿Qué es Dante y qué tiene que ver HackingTeam con él?
El malware encontrado tenía una estructura modular, utilizaba cifrado de módulos con claves únicas para cada víctima y se autodestruía después de cierto tiempo si no se recibían comandos desde el servidor de control. Pero lo más interesante de todo es que nuestros investigadores lograron identificarlo como un spyware comercial llamado Dante, que ha sido desarrollado por la empresa italiana Memento Labs (antes conocida como Hacking Team).
HackingTeam fue uno de los pioneros del spyware comercial. Pero en 2015, la propia infraestructura de la empresa fue pirateada y una parte importante de su documentación interna, incluido el código fuente de su spyware comercial, se publicó en Internet. Después de eso, la empresa se vendió y pasó a llamarse Memento Labs.
Puedes leer más acerca de lo que el malware Dante puede hacer, y cómo nuestros expertos descubrieron que efectivamente se trataba de Dante en la publicación del blog de Securelist. También allí podrás encontrar los indicadores de vulneración correspondientes.
Cómo mantenerse seguro
Inicialmente, los ataques que utilizaban LeetAgent se detectaron con nuestra solución XDR. Además, los detalles de esta investigación, así como la información sobre el grupo ForumTroll y el spyware Dante que conoceremos próximamente, estarán disponibles para los suscriptores de nuestro servicio de datos sobre amenazas APT en el Threat Intelligence Portal.
Consejos