Yeni Dante Casus Yazılımı, Artık Memento Labs Olan Yeniden Markalanmış Bir Hacker Ekibiyle Bağlantılı

İtalyan Memento Labs şirketi tarafından geliştirilen ticari bir gözetleme aracı olan Dante'nin keşfiyle yeni bir küresel siber casusluk tehdidi ortaya çıktı. Bilginize, Memento Labs, tartışmalı İtalyan gözetleme şirketi Hacking Team'in yenilenmiş ismidir.

Siber güvenlik firması Kaspersky, ilk olarak Mart 2025'te hedeflere ulaşan Operation ForumTroll adlı saldırıyı duyurdu. Kaspersky, bu saldırıyı ForumTroll APT olarak takip ettiği belirli bir tehdit grubuna bağlıyor.

Operasyon, uluslararası "Primakov Okumaları" forumuna davet kisvesi altında son derece kişiselleştirilmiş kimlik avı e-postalarıyla başladı. Bu son derece kişiselleştirilmiş mesajlar, başta Rusya ve Belarus olmak üzere devlet kurumlarını, araştırma merkezlerini, üniversiteleri ve medya kuruluşlarını hedef alıyordu. Kaspersky'nin araştırmasına göre amaç açıkça casusluktu.

Enfeksiyon, bir alıcının kişiselleştirilmiş bir bağlantıya tıklamasıyla başladı. Kötü amaçlı site, saldırıyı gerçekleştirmeden önce kurbanın gerçek bir kullanıcı olduğunu doğrulamak için Doğrulayıcı adı verilen hızlı bir kontrol çalıştırdı. Asıl hile, Google Chrome'daki sıfırıncı gün açığından yararlanmaktı. CVE-2025-2783 olarak izlenen bu özel kusur özellikle akıllıcaydı: Windows'taki onlarca yıllık bir hatadan yararlanarak Chrome'un güvenlik sürecini kandırıyordu.

Saldırganlar, bunu yaparak Chrome'un tüm koruma bariyerlerini (korumalı alandan kaçış) aşmayı ve sistemin tam kontrolünü ele geçirmeyi başardılar. Kaspersky sorunu bildirdi ve Google hızla bir yama yayınladı. Kaspersky tarafından paylaşılan önceki sıfır gün saldırılarının kapsamlı listesi, bu tür kötü amaçlı saldırıları yakalamanın sürekli ve zorlu bir çaba olduğunu gösteriyor.

Kaspersky'nin bildirdiği gerçek zamanlı Zero-day'lerin listesi şöyle:

• CVE-2014-0497
• CVE-2014-0515
• CVE-2014-0546
• CVE-2016-4171
• CVE-2017-11292

• CVE-2014-4077
• CVE-2015-2360
• CVE-2016-0034
• CVE-2016-0165
• CVE-2016-3393
• CVE-2018-8174
• CVE-2018-8453
• CVE-2018-8589
• CVE-2018-8611
• CVE-2019-0797
• CVE-2019-0859
• CVE-2019-1458
• CVE-2020-0986
• CVE-2020-1380
• CVE-2021-28310
• CVE-2021-31955
• CVE-2021-31956
• CVE-2021-40449
• CVE-2023-28252
• CVE-2024-30051

• CVE-2019-13720
• CVE-2024-4947
• CVE-2025-2783

• CVE-2023-32434
• CVE-2023-32435
• CVE-2023-38606
• CVE-2023-41990

Saldırganlar, ele geçirildikten sonra kalıcı erişimi garantilemek için gizli bir bileşen yüklediler. Bunu, Windows kayıt defterini manipüle etmeyi içeren Bileşen Nesne Modeli (COM) ele geçirme adı verilen bir teknik kullanarak başardılar. Kullanıcının özel ayarlarına özel bir giriş yerleştirerek, saldırganlar meşru Windows programlarını kötü amaçlı kodlarını yüklemeye zorladılar ve ardından dosyaları (belgeler ve elektronik tablolar gibi) çalmak, sistem komutlarını çalıştırmak ve tuş vuruşlarını kaydetmek için tasarlanmış bir araç olan gerçek casus yazılım LeetAgent'ı başlattılar.

Kaspersky araştırmacıları, LeetAgent saldırıları ile Dante olarak tanımladıkları daha güçlü bir araç arasında doğrudan bir operasyonel ve kod bağlantısı buldu. Bu bağlantı, ticari casus yazılım pazarındaki önemli bir gelişmeyi doğruluyor. Dante, kötü şöhretli Hacking Team'in 2019'da satın alınıp yeniden markalanmasının ardından kurulan Memento Labs şirketinin yeni gözetim platformu.

Araştırmacılar blog yazısında, "Saldırı, yükleyici ve Dante tarafından paylaşılan benzer kodlar bulduk. Bu bulgular bir araya geldiğinde, Operation ForumTroll kampanyasının da Dante casus yazılımıyla birlikte gelen aynı araç setini kullanarak gerçekleştirildiği sonucuna varmamızı sağlıyor," diye belirtti.

Hackread.com'un önceki haberine göre, Hacking Team 2003 yılında kurulmuş ve güçlü gözetleme yazılımı Da Vinci veya Uzaktan Kumanda Sistemi (RCS) casus yazılımıyla tanınıyor. 2015 yılında yaşanan büyük bir veri sızıntısı, araçlarını tehlikeye attı ve şirket içi operasyonlarını ifşa ederek, şirketin daha sonra yeniden markalaşmasına yol açtı.

Dante'nin (Kaspersky'nin kodda ismini bulduğu) keşfi ve ForumTroll APT grubu tarafından en az 2022'den beri kullanılması, ticari gözetleme pazarının sürekli olarak adapte olduğunu doğruluyor. Hacking Team'in marka değişikliğine rağmen, güçlü casusluk araçları satma faaliyetleri devam ediyor.

Araştırmacılar, bu gelişmiş araçların geliştiricilerinin bulunup isimlerinin açıklanmasının, yani atıf sürecinin, küresel siber casusluğun gerçek kapsamını ortaya koymak açısından kritik önem taşıdığını öne sürüyor.