KabarTifa- Dunia maya kembali dikejutkan dengan kemunculan kelompok spionase siber yang diduga kuat merupakan penerus dari HackingTeam, sebuah nama yang dulu sangat ditakuti. Tim Riset dan Analisis Global Kaspersky (GReAT) baru-baru ini mengungkap bukti yang mengarah pada Memento Labs, perusahaan yang diyakini sebagai reinkarnasi HackingTeam, terlibat dalam serangkaian serangan spionase yang terencana dengan matang.
Investigasi Kaspersky bermula dari Operasi ForumTroll, sebuah kampanye Advanced Persistent Threat (APT) yang memanfaatkan celah keamanan zero-day di peramban Google Chrome. Celah ini, yang dikenal sebagai CVE-2025-2783, memungkinkan penyerang untuk menyusup ke sistem target tanpa terdeteksi.
Modus operandi kelompok APT ini tergolong klasik namun efektif: mengirimkan email phishing yang dipersonalisasi, menyamar sebagai undangan ke forum Primakov Readings. Target mereka beragam, mulai dari media Rusia, lembaga pendidikan dan keuangan, hingga organisasi pemerintahan.
Saat menganalisis Operasi ForumTroll, para peneliti Kaspersky menemukan spyware bernama LeetAgent. Keunikan spyware ini terletak pada penggunaan leetspeak dalam perintahnya, sebuah fitur yang jarang ditemukan pada malware APT. Analisis lebih lanjut mengungkap kesamaan antara LeetAgent dan spyware yang lebih canggih yang terdeteksi dalam serangan lain.
Setelah memastikan bahwa spyware yang lebih canggih ini diluncurkan oleh LeetAgent atau berbagi kerangka kerja loader, para peneliti Kaspersky menyimpulkan adanya hubungan yang kuat antara keduanya. Spyware yang lebih canggih ini, yang diberi nama Dante oleh Kaspersky, menggunakan teknik anti-analisis canggih, termasuk obfuscation VMProtect, untuk menghindari deteksi.
Yang mengejutkan, Kaspersky menemukan bahwa spyware komersial dengan nama yang sama dipromosikan oleh Memento Labs, yang semakin memperkuat dugaan keterkaitan antara kelompok APT ini dengan penerus HackingTeam. Sampel spyware yang diperoleh Kaspersky GReAT juga menunjukkan kesamaan dengan Sistem Kontrol Jarak Jauh HackingTeam, yang semakin mengukuhkan dugaan ini.
Boris Larin, kepala peneliti keamanan di Kaspersky GReAT, mengatakan, "Mengungkap asal-usul Dante membutuhkan pengupasan lapisan kode yang sangat tersembunyi, melacak beberapa sidik jari langka selama bertahun-tahun evolusi malware, dan menghubungkannya dengan garis keturunan perusahaan. Mungkin itulah alasan mereka menyebutnya Dante, ada perjalanan yang sangat berat bagi siapa pun yang mencoba menemukan akarnya."
Untuk menghindari deteksi, Dante menggunakan cara unik untuk menganalisis lingkungannya sebelum menentukan apakah ia dapat menjalankan fungsinya dengan aman. Jejak pertama penggunaan LeetAgent ditemukan pada tahun 2022, dengan serangan tambahan oleh ForumTroll APT yang menargetkan organisasi dan individu di Rusia dan Belarus.
Kelompok ini menunjukkan penguasaan bahasa Rusia yang kuat dan pengetahuan tentang nuansa lokal, meskipun kesalahan yang sesekali muncul menunjukkan bahwa para penyerang bukanlah penutur asli. Serangan dari penerus HackingTeam yang memanfaatkan LeetAgent pertama kali terdeteksi oleh Kaspersky Next XDR Expert.
Detail lengkap riset ini, serta informasi terbaru tentang ForumTroll APT dan Dante, tersedia bagi pelanggan layanan pelaporan APT melalui Kaspersky Threat Intelligence Portal. Temuan ini menjadi pengingat bahwa ancaman spyware terus berkembang dan menjadi semakin canggih, menuntut kewaspadaan dan perlindungan yang lebih ketat. Informasi ini dilansir dari kabartifa.id.
