Bu yılın başlarında ForumTroll Operasyonu’nda istismar edilen Google Chrome’daki sıfır gün güvenlik açığı, IntheCyber Group’un kötü şöhretli Hacking Team’i satın almasından sonra doğan İtalyan casus yazılım satıcısı Memento Labs ile bağlantılı kötü amaçlı yazılım sağladı.
ForumTroll Operasyonu Mart ayında Kaspersky tarafından ortaya çıkarıldı. Kampanya, Primakov Okumaları forumuna kötü niyetli bir bağlantı içeren iyi hazırlanmış davetiyelerle Rus kuruluşlarını (medya kuruluşları, üniversiteler, araştırma merkezleri, hükümet kuruluşları ve finans kurumları) hedef alıyordu.
Bağlantının Chromium tabanlı herhangi bir web tarayıcısına yüklenmesi, bilgisayar sistemine virüs bulaşması için yeterliydi. Kaspersky araştırmacıları, kötü amaçlı yazılım dağıtımının, Chrome tarayıcısında sıfırıncı gün korumalı alan kaçışı olan CVE-2025-2783’ten yararlanılarak yapıldığını söyledi.
.jpg)
Kaynak: Kaspersky
Bugün yayınladığı raporda Kaspersky, ForumTroll Operasyonunda kullanılan saldırı zinciri hakkında daha fazla ayrıntı yayınlayarak, kampanyada kullanılan kötü amaçlı yazılımın tarihinin en az 2022 yılına dayandığını ve Rusya ve Belarus’taki kuruluşlara yönelik başka saldırıların keşfedilmesine yol açtığını söyledi.
Eski saldırıları inceleyen araştırmacılar, “ticari casus yazılım olarak tanımladığımız, “Dante” adlı ve İtalyan şirketi Memento Labs tarafından geliştirilen bilinmeyen bir kötü amaçlı yazılım parçası buldular.
Memento Labs, daha önce yetkililere gözetim aracı olarak satılan Uzaktan Kontrol Sistemi (RCS) ile tanınan, Milano merkezli bir casus yazılım satıcısı olan eski ‘Hacking Team’in araştırma ve uzmanlığı üzerine kurulmuş yeni bir şirketin adıdır.
Hacking Team 2015 yılında ihlal edildi ve olay, otoriter rejimlere yapılan satışları, sıfır gün açıklarına erişimi ve hükümet istihbarat müşterileriyle etkileşimi açığa çıkararak şirketin kaderini belirledi.
Firma, 2019 yılında Hacking Team’in varlıklarını kullanarak Memento Labs’ı oluşturan InTheCyber Group tarafından satın alındı.
Dört yıl sonra, ISS Dünya Orta Doğu ve Afrika konferansında Memento Labs, ayrıntıları gizli kalmasına rağmen yeni Dante casus yazılımını tanıttı.
LeetAgent ve Dante
ForumTroll Operasyonu saldırıları, kötü amaçlı siteye kişiselleştirilmiş, kısa ömürlü bir bağlantı içeren bir kimlik avı e-postasıyla başlar; burada doğrulayıcı bir komut dosyası, yalnızca ilgilenilen hedeflerin tehlikeye girdiğinden emin olmak için ziyaretçileri filtreler.
Bir sonraki adımda saldırganlar, kurbanın tarayıcı sürecinde kabuk kodu yürütmeyi gerçekleştirmek ve kötü amaçlı bir DLL eklemek için kalıcı bir yükleyici yüklemek için CVE-2025-2783’ten yararlandı.
DLL, komut yürütmeyi, dosya işlemlerini, tuş kaydetmeyi ve veri hırsızlığını destekleyen modüler bir casus yazılım olan LeetAgent adlı ana yükün şifresini çözdü.
Kaspersky araştırmacıları, LeetAgent’ın komut uygulamasında leetspeak kullanımı açısından benzersiz olduğunu belirtiyor ve bunun aynı zamanda ticari bir casus yazılım aracı olabileceğine inanıyor.
.jpg)
Kaynak: Kaspersky
Araştırmacılar LeetAgent kullanımının izini 2022’de Rusya ve Belarus’taki hedeflere yönelik saldırılara kadar sürdü. Bazı durumlarda Dante’yi tanıtmak için LeetAgent kullanıldı.
Dante’nin kodlarının Hacking Team’in RCS kötü amaçlı yazılımıyla benzerliği nedeniyle Kaspersky araştırmacıları, araçları Memento Labs’e atfetme konusunda oldukça güveniyor.
Dante, bileşenleri bir komuta ve kontrol (C2) sunucusundan alan modüler bir casus yazılımdır. Saldırganın sunucusundan belirli sayıda gün boyunca hiçbir iletişim alınmazsa, kötü amaçlı yazılım “kendisini ve etkinliğinin tüm izlerini siler.”
Araştırmacılar analiz için herhangi bir modüle ulaşamadılar, bu nedenle Dante casus yazılımının spesifik özellikleri ve yetenekleri belgelenmemiş durumda.
Kaspersky’nin gelişmiş casus yazılımı büyük bir güvenle Memento Labs’e atfetmesine rağmen, Chrome sanal alandan kaçış sıfırıncı gününün yazarının farklı bir varlık olabileceğini unutmamak önemlidir.
Chrome, 26 Mart’ta yayınlanan 134.0.6998.178 sürümündeki CVE-2025-2783’ü düzeltti. Mozilla ayrıca tarayıcının 136.0.4 sürümünde CVE-2025-2857 olarak izlenen Firefox’taki sorunu da ele aldı.
BleepingComputer, Kaspersky’nin bulgularına ilişkin yorum talebiyle Memento Labs ile iletişime geçti ancak yayınlanma zamanına göre bir yanıt alamadı.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.