كاسبرسكي ترصد برمجية تجسس من مجموعة اختراق متوارية عن الأنظار، وتكشف عنها في قمة المحللين الأمنيين

في وقت أبكر اليوم، أعلنت شركة كاسبرسكي أنّ فريقها العالمي للبحث والتحليل (GReAT) كشف عن أدلة تربط مجموعة الاختراق Memento Labs (المجموعة التي خلفت HackingTeam) بموجة جديدة من هجمات التجسس الإلكتروني. وجاء هذا الإعلان في اليوم الأول من قمة المحللين الأمنيين (Security Analyst Summit 2025) في تايلاند، والذي تشارك فيه مينا تك بصفتها الشريك الإعلامي الحصري من الشرق الأوسط.

مينا تك حاضرة في قمة المحللين الأمنيين 2025 التي تقيمها كاسبرسكي في تايلاند

ينبع هذا الاكتشاف من تحقيق في عملية ForumTroll، وهي حملة تهديد متقدمة مستمرة (APT) استغلت ثغرة يوم صفري في متصفح Google Chrome.

في مارس 2025، كشف فريق GReAT التابع لكاسبرسكي عن عملية ForumTroll، وهي حملة تجسس إلكتروني متقدمة استغلت ثغرة يوم صفري في متصفح Chrome تحمل الرمز CVE-2025-2783. وقد أرسل فريق التهديدات المتقدمة المستمرة المسؤول عن الهجوم رسائل تصيد موجهة تم تمويهها كدعوات إلى منتدى Primakov Readings، مستهدفاً وسائل الإعلام الروسية، والجهات الحكومية، والمؤسسات التعليمية، والمالية.

أثناء التحقيق في ForumTroll، اكتشف الباحثون أن المهاجمين استخدموا برنامج تجسس يُدعى LeetAgent، تميّز بكون أوامره مكتوبة بلغة «ليتسبيك» (نمط كتابة غير رسمي يستبدل بعض الأحرف اللاتينية بأرقام تشببها شكلاً، مثل استبدال حرف A بالرقم 4) وهي سمة نادرة في برمجيات التهديدات المتقدمة المستمرة. وكشف التحليل الإضافي عن تشابه بين مجموعة أدوات الفريق وبرنامج تجسس أكثر تقدماً لاحظه فريق GReAT في هجمات أخرى. وبعد التأكد من أنّ الأخير تم تشغيله أحياناً بواسطة LeetAgent أو أنهما يشتركان في بنية التحميل نفسها، أكد الباحثون وجود صلة بين البرمجتين وكذلك بين الهجمات.

لقطات من قمة المحللين الأمنيين SAS 2025 في تايلاند

على الرغم من أن برنامج التجسس الآخر استخدم تقنيات متقدمة لمكافحة التحليل، بما في ذلك تشفير VMProtect، فقد تمكنت كاسبرسكي من العثور على اسم البرمجية في الكود وتحديدها على أنها Dante. ووجد الباحثون أنّ شركة Memento Labs، التي أعادت تسمية نفسها بعد HackingTeam، تروّج لبرنامج تجسس تجاري يحمل الاسم نفسه. كما تبيّن أنّ أحدث عينات برنامج التجسس Remote Control System التابع لـ HackingTeam، التي حصل عليها فريق GReAT من كاسبرسكي، تشبه برنامج Dante إلى حد كبير.

علق بوريس لارين، الباحث الأمني الرئيسي في فريق GReAT لدى كاسبرسكي على الموضوع: «رغم أنّ وجود مطوري برمجيات التجسس التجاريين معروف في هذا المجال، إلا أنّ منتجاتهم تبقى غامضة، خصوصاً في الهجمات الموجهة التي يصعب تحديد هوية أدواتها بشكل استثنائي. كشف أصول Danteتطلب إزالة طبقات عديدة من الأكواد المشفّرة بشكل معقد، وتتبع بصمات نادرة عبر سنوات من تطور البرمجيات الخبيثة، وربطها بسلسلة نسب مؤسسية. وربما لهذا السبب أُطلق عليه اسم Dante، إذ إن الوصول إلى جذوره أشبه برحلة إلى الجحيم لمن يحاول تتبعها.»

للتخفي عن أنظمة الكشف، يعتمد Dante نهجاً فريداً لتحليل البيئة التي يعمل فيها قبل أن يقرر ما إذا كان بإمكانه تنفيذ وظائفه بأمان.

تتبّع الباحثون الاستخدام الأول لبرنامج LeetAgent إلى عام 2022، ووجدوا مزيداً من الهجمات التي شنّتها مجموعة ForumTroll APT واستهدفت مؤسسات وأفراداً في روسيا وبيلاروس. وتُعرف هذه المجموعة بإتقانها اللغة الروسية وفهمها الدقيق للثقافة المحلية، وهو ما لاحظته كاسبرسكي في حملات أخرى مرتبطة بهذا التهديد. ومع ذلك، فإنّ بعض الأخطاء العرضية تشير إلى أن اللغة الروسية ليست اللغة الأم للمهاجمين.

تم رصد الهجوم الذي استخدم LeetAgent لأول مرة بواسطة نظام Kaspersky Next XDR Expert. وتتوفر التفاصيل الكاملة لهذا البحث، بالإضافة إلى التحديثات المستقبلية حول مجموعة ForumTroll APT وبرنامج Dante، لعملاء خدمة تقارير التهديدات APT عبر بوابة Kaspersky Threat Intelligence Portal.