GReAT , faaliyetlerini HackingTeam’den devraldığı bilinen Memento Labs’in yeni bir siber casusluk dalgasıyla bağlantılı olduğuna dair kanıtlar ortaya koydu. Söz konusu bulgular, Google Chrome’daki bir sıfırıncı gün güvenlik açığını istismar eden gelişmiş kalıcı tehdit (APT) kampanyası Operation ForumTroll’un incelenmesi sırasında elde edildi.
GReAT, Mart 2025’te Operation ForumTroll adı verilen gelişmiş bir siber casusluk kampanyasını ortaya çıkardı. Bu kampanya, CVE-2025-2783 olarak kayda geçen bir Chrome sıfırıncı gün açığını hedef alıyordu. Saldırıdan sorumlu APT grubu, Primakov Readings forumuna davet izlenimi veren kişiselleştirilmiş oltalama e-postaları aracılığıyla Rusya’daki medya kuruluşlarını, eğitim kurumlarını ve kamu kurumlarını hedef aldı.
ForumTroll’ü araştıran uzmanlar, saldırganların leetspeak (internet argosu) ile yazılmış komutları nedeniyle APT zararlı yazılımlarında nadir görülen bir özellik olan LeetAgent adlı bir siber casus yazılım kullandığını tespit etti. Daha derinlemesine yapılan analizler, bu yazılım seti ile GReAT’ın diğer saldırılarda gözlemlediği daha gelişmiş bir casus yazılım arasında benzerlikler olduğunu ortaya koydu.
Bazı durumlarda bu gelişmiş siber casus yazılımın LeetAgent tarafından başlatıldığının veya bir yükleyici çerçevesini paylaştıklarının belirlenmesinin ardından, araştırmacılar iki casus yazılım ve dolayısıyla saldırılar arasındaki bağlantıyı doğruladı.
Her ne kadar diğer casus yazılım VMProtect tabanlı gelişmiş analiz karşıtı teknikler kullanıyor olsa da, Güvenlik uzmanları zararlının iç kodunda yer alan adını tespit etmeyi başardı: Dante. Araştırmacılar, aynı isimde ticari bir casus yazılımın Memento Labs —yani yeniden markalanmış HackingTeam— tarafından pazarlanan bir ürün olduğunu keşfetti. Ayrıca GReAT’in eline geçen HackingTeam’in Remote Control System (RCS) casus yazılımının son sürümleriyle Dante arasında da önemli yapısal benzerlikler bulundu.
Araştırmacılar, LeetAgent’ın ilk kullanımını 2022 yılına kadar takip etti ve ForumTroll APT grubunun Rusya ve Belarus’taki kurum ve kişilere yönelik ek saldırılarını da keşfetti. Grup, güçlü Rusça bilgisi ve yerel ayrıntılara hâkimiyeti ile öne çıkıyor; Kaspersky bu özellikleri söz konusu APT tehdidiyle bağlantılı diğer kampanyalarda da gözlemledi. Ancak ara sıra yapılan hatalar, saldırganların ana dilinin Rusça olmadığını düşündürüyor.
LeetAgent’ın kullanıldığı saldırı ilk olarak Kaspersky Next XDR Expert tarafından tespit edildi.
