كشف فريق “كاسبرسكي”العالمي للبحث والتحليل، (GReAT). أدلة تؤكد وجود صلة مباشرة بين شركة “ميمينتو لابز” (Memento Labs)، التي تُعد الوريث الفعلي ل”شركة HackingTeam” وموجة جديدة من هجمات التجسس الإلكتروني المتطورة.
جاء هذا الاكتشاف كثمرة لتحقيق شامل تم غجراؤه حول عملية تعرف باسم “ForumTroll”. وهي حملة تهديدات متقدمة مستمرة (APT) استغلّت ثغرة أمنية غير معروفة سابقاً (zero-day) في متصفح Google Chrome.
وقد تم الكشف عن هذه النتائج خلال فعاليات “قمة محللي الأمن السيبراني 2025” (Security Analyst Summit)، التي عُقدت في “تايلاند”.
خلال شهر مارس 2025، تمكن باحثو “GReAT” من تحديد معالم “حملة ForumTroll”، وهي حملة تجسس إلكتروني على درجة عالية من التعقيد. قامت باستغلال ثغرة أمنية خطيرة في متصفح “غوغل كروم Chrome” تحمل الرمز “CVE-2025-2783”.
وقد قام القائمون على الحملة بإرسال رسائل تصيد احتيالي مصممة خصيصا على هيئة دعوات لحضور “منتدى Primakov Readings”، مستهدفين بذلك وسائل إعلام “روسية”، ومؤسسات تعليمية، وهيئات مالية، وعدداً من الجهات الحكومية.
عملية التحليل الفني، مكنت خبراء “كاسبرسكي” من اكتشاف استخدام برنامج تجسس يحمل اسم “LeetAgent”، يتميز باستخدامه لنمط “ليت سبيك” (leet speak) في أوامره البرمجية. وهو أسلوب نادر في برمجيات التجسس المتقدمة.
دراسة هاته البرمجية مكنت من التعرف على تقاطعات تقنية واضحة بين أدوات “LeetAgent” وبرنامج تجسس آخر أكثر تطورا سبق لفريق “كاسبرسكي” تحليله ضمن هجمات إلكترونية أخرى. وبعدما تبين أن البرنامج الثاني يتم تنفيذه أحيانا بواسطة “LeetAgent”. وأن كليهما يعتمدان على نفس إطار تحميل البرمجيات. تأكد الباحثون من وجود علاقة مباشرة بين البرنامجين، وبالتالي بين الحوادث التي شهدت استخدامهما.
وعلى الرغم من اعتماد البرنامج الثاني على تقنيات معقدة لمكافحة التحليل، من بينها “تقنية التشفير VMProtect”. فقد تمكنت “كاسبرسكي” من استخراج اسم البرنامج من شفرته المصدرية. حيث تبين أنه يحمل اسم “Dante”.
وقد توصل الفريق إلى أن هذا الاسم يطابق تماما برنامج تجسس تجاري تروج له “شركة Memento Labs”، وهي التسمية الجديدة ل”شركة HackingTeam”.
كما أظهرت العينات الأحدث من برنامج التجسس “Remote Control System”، الذي كانت قد طورته “HackingTeam” وحصلت عليه “كاسبرسكي”، مؤخرا. تشابها تقنيا كبيرا مع برمجية “Dante”.
وفي تعليق على هذا الاكتشاف، صرح “بوريس لارين”، كبير الباحثين الأمنيين في “فريق GReAT” لدى “كاسبرسكي”، قائلا: “إن وجود مزودي خدمات برمجيات التجسس التجارية هو أمر معروف في الوسط الأمني. غير أن تحديد بصمتهم الرقمية في الهجمات المستهدفة يبقى بالغ الصعوبة. نظرا للطبيعة المعقدة لهذه الهجمات.
وأضاف، للوصول إلى أصل “برنامج Dante”، كان علينا تفكيك طبقات متعددة من الشيفرة شديدة التعتيم. وتتبع مؤشرات تقنية دقيقة على مدى سنوات من تطور البرمجيات الخبيثة، وربطها بسلاسل الشركات المطوّرة. ربما لهذا السبب تم اختيار اسم “Dante”، إذ أن تتبع أصوله أشبه بجحيم حقيقي”.
تجدر الغشارة إلى أن “برنامج Dante” يتبنى أسلوبا فريدا للتمويه. حيث يشرع في تحليل بيئة النظام المستهدف قبل أن يقرر فيما إذا كان سينفذ نفسه بشكل خفي أم لا. وذلك في محاولة لتفادي أنظمة الكشف والتحليل الأمني.
وبحسب تحقيقات “كاسبرسكي”، فإن أول ظهور مسجل ل”برنامج LeetAgent” يعود لعام 2022. فيما تم تسجيل هجمات أخرى منسوبة إلى “مجموعة ForumTroll” استهدفت مؤسسات وشخصيات في “روسيا” و”بيلاروسيا”.
تظهر هذه المجموعة إتقانا واضحا للغة الروسية وفهما دقيقا للخصوصيات الثقافية واللغوية في المنطقة. وهي سمات سبق أن تم رصدها في حملات إلكترونية أخرى منسوبة إليها. غير أن بعض الأخطاء اللغوية الطفيفة توحي بأن القائمين على هذه الهجمات ليسوا ناطقين أصليين باللغة الروسية.
وقد تم اكتشاف الهجوم الذي استخدم “LeetAgent” لأول مرة بفضل “منصة Kaspersky Next XDR Expert”. ويمكن للعملاء المشتركين في خدمة تقارير التهديدات المتقدمة (APT) التي توفرها “كاسبرسكي”، الاطلاع على تفاصيل هذا التحليل الكامل. إضافة إلى التحديثات المستقبلية المتعلقة بـ”ForumTroll” و”Dante”، عبر بوابة “Kaspersky Threat Intelligence”.
ولمزيد من المعلومات التقنية ومؤشرات الاختراق، يمكن الرجوع إلى المقال المنشور على “موقع Securelist”.
