ForumTroll und seine italienischen Kollegen

Unsere Experten haben einen interessanten Fund gemacht: Es gibt Tools, die sowohl von der APT-Gruppe ForumTroll als auch von Angreifern, die die Dante-Malware von Memento Labs nutzen, eingesetzt werden.

LeetAgent: ein gemeinsames Tool von ForumTroll und Dante

Unsere Experten vom Kaspersky Global Research and Analysis Team (GReAT) haben die Infektionskette rekonstruiert, die bei den Angriffen der APT-Gruppe ForumTroll verwendet wird. Bei den Untersuchungen stellten sie fest, dass die von ForumTroll eingesetzten Tools auch zur Verbreitung der kommerziellen Malware Dante genutzt wurden. Boris Larin hielt auf der Konferenz „Security Analyst Summit 2025“ in Thailand einen ausführlichen Vortrag über diese Studie.

Was ist ForumTroll und wie funktioniert diese APT?

Im März schlugen unsere Technologien Alarm: Bei russischen Unternehmen gab es eine Infektionswelle mit bisher unbekannter, hochentwickelter Malware. Bei den Angriffen fielen kurzlebige Webseiten auf, die die Zero-Day-Schwachstelle CVE-2025-2783 in Google Chrome ausnutzten. Die Angreifer schickten E-Mails an Mitarbeiter von Medien, Behörden, Bildungseinrichtungen und Finanzinstituten in Russland und luden zur Teilnahme am Wissenschafts- und Expertenforum „Primakow Readings“ ein. Deshalb erhielt die Kampagne den eingängigen Namen „Forum Troll“ und die Gruppe, die dahinter steckt, wurde „ForumTroll“ getauft. Sobald auf den Link in der E-Mail geklickt wurde, war das Gerät mit Malware infiziert. Die von den Angreifern verwendete Malware wurde LeetAgent genannt, die Befehle des Kontrollservers in der Leet-Schreibweise verfasst waren.

Nach der ersten Veröffentlichung untersuchten die GReAT-Experten die Aktivitäten von ForumTroll genauer. Sie entdeckten noch weitere Angriffe derselben Gruppe auf Organisationen und Einzelpersonen in Russland und Belarus. Darüber hinaus fanden sie bei der Suche nach Angriffen, bei denen LeetAgent im Spiel war, auch Fälle, in denen eine viel ausgeklügeltere Malware verwendet wurde.

Was ist Dante und was hat HackingTeam damit zu tun?

Die gefundene Malware war modular aufgebaut und die Module waren für jedes Opfer mit eindeutigen Schlüsseln verschlüsselt. Wenn keine Befehle vom Kontrollserver eingingen, zerstörte sich der Schädling nach einer bestimmten Zeit selbst. Das Interessanteste kommt aber noch: Unseren Forschern gelang es, die Malware als kommerzielle Dante-Spyware zu identifizieren, die von der italienischen Firma Memento Labs (früher bekannt als Hacking Team) entwickelt wurde.

HackingTeam gehörte zu den Pionieren für kommerzielle Spyware. 2015 wurde die Infrastruktur des Unternehmens jedoch gehackt und ein erheblicher Teil der internen Dokumentation wurde geleakt, auch der Quellcode der kommerziellen Spyware. Danach wurde das Unternehmen verkauft und in Memento Labs umbenannt.

Im Securelist-Blogpost erfährst du mehr darüber, was die Dante-Malware anstellen kann und wie unsere Experten herausgefunden haben, dass es sich tatsächlich um Dante handelt. Dort findest du auch die entsprechenden Kompromittierungsindikatoren.

So kannst du dich schützen

Die LeetAgent-Angriffe wurden zuerst von unserer XDR-Lösung erkannt. Darüber hinaus haben die Abonnenten unseres APT-Bedrohungsdatendienstes Threat Intelligence Portal Zugriff auf Details dieser Studie und stets aktuelle Informationen über die ForumTroll-Gruppe und die Dante-Spyware.

Tipps

Privatsphäre in sozialen Medien – Stand 2025

In welchen sozialen Netzwerken bleiben deine Beiträge vorwiegend deinen Freunden vorbehalten? Welche Netzwerke verwenden deine Postings für KI-Training und gezielte Werbung? Wir untersuchen das aktuelle Privatsphäre-Ranking für populäre Social-Media-Plattformen.

  • Für alle anderen Länder