İtalyan Memento Labs şirketi tarafından geliştirilen ticari bir gözetim aracı olan Dante’nin keşfedilmesiyle yeni bir küresel siber casusluk tehdidi ortaya çıktı. Bilginiz olsun diye söylüyorum, Memento Labs, tartışmalı İtalyan gözetleme firması Hacking Team’in yeniden markalanmış kuruluşudur.
Siber güvenlik firması Kaspersky, ilk olarak Mart 2025’te hedefleri vuran ForumTroll Operasyonu adlı kampanyayı açıkladı. Kaspersky, bu saldırıyı ForumTroll APT olarak takip ettiği belirli bir tehdit grubuna bağlıyor.
Kimlik Avı Tuzağı ve Sıfır Gün Saldırısı
Operasyon, ‘Primakov Okumaları’ uluslararası forumuna davet olarak gizlenen son derece kişiselleştirilmiş kimlik avı e-postalarıyla başladı. Bu oldukça kişiselleştirilmiş mesajlar, başta Rusya ve Beyaz Rusya olmak üzere hükümet organlarını, araştırma merkezlerini, üniversiteleri ve medya kuruluşlarını hedef alıyordu. Kaspersky’nin araştırmasına göre amaç açıkça casusluktu.
Enfeksiyon, alıcının kişiselleştirilmiş bir bağlantıya tıklamasıyla başladı. Kötü amaçlı site, saldırıyı gerçekleştirmeden önce kurbanın gerçek bir kullanıcı olduğunu doğrulamak için Doğrulayıcı adı verilen hızlı bir kontrol gerçekleştirdi. Asıl püf noktası, Google Chrome’daki sıfır gün güvenlik açığından yararlanmaktı. CVE-2025-2783 olarak takip edilen bu özel kusur özellikle akıllıcaydı: Chrome’un güvenlik sürecini kandırmak için Windows’ta onlarca yıllık bir hatadan yararlandı.
Saldırganlar bunu yaparak Chrome’un tüm koruyucu bariyerlerini (sanal alandan kaçış) aşmayı ve sistemin tam kontrolünü ele geçirmeyi başardılar. Kaspersky’nin sorunu bildirmesi Google’ın hızla bir yama yayınlamasına yol açtı. Kaspersky’nin paylaştığı önceki sıfır gün saldırılarının kapsamlı listesi, bu tür kötü niyetli saldırıları yakalamanın sürekli ve zor bir çaba olduğunu gösteriyor.
Kaspersky’nin bildirdiği yaygın Sıfır günlerin listesi:
Adobe
- CVE-2014-0497
- CVE-2014-0515
- CVE-2014-0546
- CVE-2016-4171
- CVE-2017-11292
Microsoft
- CVE-2014-4077
- CVE-2015-2360
- CVE-2016-0034
- CVE-2016-0165
- CVE-2016-3393
- CVE-2018-8174
- CVE-2018-8453
- CVE-2018-8589
- CVE-2018-8611
- CVE-2019-0797
- CVE-2019-0859
- CVE-2019-1458
- CVE-2020-0986
- CVE-2020-1380
- CVE-2021-28310
- CVE-2021-31955
- CVE-2021-31956
- CVE-2021-40449
- CVE-2023-28252
- CVE-2024-30051
- CVE-2019-13720
- CVE-2024-4947
- CVE-2025-2783
Elma
- CVE-2023-32434
- CVE-2023-32435
- CVE-2023-38606
- CVE-2023-41990
Yeni Araçlar, Eski Alışkanlıklar: LeetAgent ve Dante
Saldırganlar, bir kez ele geçirildikten sonra kalıcı erişim sağlamak için gizli bir bileşen kurdular. Bunu, Windows kayıt defterinin değiştirilmesini içeren, Bileşen Nesne Modeli (COM) ele geçirme adı verilen bir teknik kullanarak başardılar. Saldırganlar, kullanıcının özel ayarlarına özel bir giriş yerleştirerek meşru Windows programlarını kendi kötü amaçlı kodlarını yüklemeye zorladılar ve bu daha sonra dosyaları (belgeler ve elektronik tablolar gibi) çalmak, sistem komutlarını çalıştırmak ve tuş vuruşlarını kaydetmek için tasarlanmış bir araç olan gerçek casus yazılım LeetAgent’ı başlattı.
Kaspersky’nin araştırmacıları daha sonra LeetAgent saldırıları ile Dante olarak tanımladıkları daha güçlü bir araç arasında doğrudan bir operasyonel ve kod bağlantısı buldular. Bu bağlantı, ticari casus yazılım pazarındaki önemli bir gelişmeyi doğruluyor. Dante, ünlü Hacking Team’in 2019’da satın alınıp yeniden markalanmasının ardından oluşturulan şirket Memento Labs’ın yeni gözetim platformudur.
Araştırmacılar blog yazısında şunları kaydetti: “İstismar, yükleyici ve Dante tarafından paylaşılan benzer bir kod bulduk. Birlikte ele alındığında, bu bulgular bize ForumTroll Operasyonu kampanyasının Dante casus yazılımıyla birlikte gelen aynı araç seti kullanılarak yürütüldüğü sonucuna varmamızı sağlıyor.”
Hackread.com’un daha önceki haberlerine göre, Hacking Team 2003 yılında kuruldu ve güçlü gözetleme yazılımı Da Vinci veya Uzaktan Kontrol Sistemi (RCS) casus yazılımlarıyla tanınıyor. 2015’teki büyük bir veri sızıntısı, araçlarını tehlikeye attı ve dahili operasyonlarını açığa çıkardı ve daha sonra yeniden markalaşmalarına neden oldu.
Dante’nin (Kaspersky’nin adının kodda yazılı olduğunu bulduğu) keşfedilmesi ve ForumTroll APT grubu tarafından en az 2022’den beri kullanılması, ticari gözetim pazarının sürekli olarak uyum sağladığını doğruluyor. Hacking Team’in yeniden markalaşmasına rağmen, güçlü casusluk araçları satma işleri devam ediyor.
Araştırmacılar, ilişkilendirme adı verilen bir süreç olan bu gelişmiş araçların geliştiricilerini bulmanın ve adlandırmanın, küresel siber casusluğun gerçek kapsamını ele almak için çok önemli olduğunu öne sürüyor.