{"id":32869,"date":"2025-11-07T11:00:53","date_gmt":"2025-11-07T09:00:53","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32869"},"modified":"2025-11-07T01:01:22","modified_gmt":"2025-11-06T23:01:22","slug":"forumtroll-dante-leetagent","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/forumtroll-dante-leetagent\/32869\/","title":{"rendered":"ForumTroll und seine italienischen Kollegen"},"content":{"rendered":"<p>Unsere Experten vom Kaspersky Global Research and Analysis Team (GReAT) haben die Infektionskette rekonstruiert, die bei den Angriffen der APT-Gruppe ForumTroll verwendet wird. Bei den Untersuchungen stellten sie fest, dass die von ForumTroll eingesetzten Tools auch zur Verbreitung der kommerziellen Malware Dante genutzt wurden. Boris Larin hielt auf der Konferenz \u201eSecurity Analyst Summit 2025\u201c in Thailand einen ausf\u00fchrlichen Vortrag \u00fcber diese <a href=\"https:\/\/securelist.com\/forumtroll-apt-hacking-team-dante-spyware\/117851\/\" target=\"_blank\" rel=\"noopener\">Studie<\/a>.<\/p>\n<h2>Was ist ForumTroll und wie funktioniert diese APT?<\/h2>\n<p>Im M\u00e4rz schlugen unsere Technologien Alarm: Bei russischen Unternehmen gab es <a href=\"https:\/\/securelist.com\/operation-forumtroll\/115989\/\" target=\"_blank\" rel=\"noopener\">eine Infektionswelle<\/a> mit bisher unbekannter, hochentwickelter Malware. Bei den Angriffen fielen kurzlebige Webseiten auf, die die Zero-Day-Schwachstelle <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-2783\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2025-2783<\/a> in Google Chrome ausnutzten. Die Angreifer schickten E-Mails an Mitarbeiter von Medien, Beh\u00f6rden, Bildungseinrichtungen und Finanzinstituten in Russland und luden zur Teilnahme am Wissenschafts- und Expertenforum \u201ePrimakow Readings\u201c ein. Deshalb erhielt die Kampagne den eing\u00e4ngigen Namen \u201eForum Troll\u201c und die Gruppe, die dahinter steckt, wurde \u201eForumTroll\u201c getauft. Sobald auf den Link in der E-Mail geklickt wurde, war das Ger\u00e4t mit Malware infiziert. Die von den Angreifern verwendete Malware wurde LeetAgent genannt, die Befehle des Kontrollservers in der <a href=\"https:\/\/de.wikipedia.org\/wiki\/Leetspeak\" target=\"_blank\" rel=\"noopener nofollow\">Leet<\/a>-Schreibweise verfasst waren.<\/p>\n<p>Nach der ersten Ver\u00f6ffentlichung untersuchten die GReAT-Experten die Aktivit\u00e4ten von ForumTroll genauer. Sie entdeckten noch weitere Angriffe derselben Gruppe auf Organisationen und Einzelpersonen in Russland und Belarus. Dar\u00fcber hinaus fanden sie bei der Suche nach Angriffen, bei denen LeetAgent im Spiel war, auch F\u00e4lle, in denen eine viel ausgekl\u00fcgeltere Malware verwendet wurde.<\/p>\n<h2>Was ist Dante und was hat HackingTeam damit zu tun?<\/h2>\n<p>Die gefundene Malware war modular aufgebaut und die Module waren f\u00fcr jedes Opfer mit eindeutigen Schl\u00fcsseln verschl\u00fcsselt. Wenn keine Befehle vom Kontrollserver eingingen, zerst\u00f6rte sich der Sch\u00e4dling nach einer bestimmten Zeit selbst. Das Interessanteste kommt aber noch: Unseren Forschern gelang es, die Malware als kommerzielle Dante-Spyware zu identifizieren, die von der italienischen Firma Memento Labs (fr\u00fcher bekannt als Hacking Team) entwickelt wurde.<\/p>\n<p>HackingTeam geh\u00f6rte zu den Pionieren f\u00fcr kommerzielle Spyware. 2015 wurde die Infrastruktur des Unternehmens jedoch gehackt und ein erheblicher Teil der internen Dokumentation wurde geleakt, auch der Quellcode der kommerziellen Spyware. Danach wurde das Unternehmen verkauft und in Memento Labs umbenannt.<\/p>\n<p>Im <a href=\"https:\/\/securelist.com\/forumtroll-apt-hacking-team-dante-spyware\/117851\/\" target=\"_blank\" rel=\"noopener\">Securelist-Blogpost<\/a> erf\u00e4hrst du mehr dar\u00fcber, was die Dante-Malware anstellen kann und wie unsere Experten herausgefunden haben, dass es sich tats\u00e4chlich um Dante handelt. Dort findest du auch die entsprechenden Kompromittierungsindikatoren.<\/p>\n<h2>So kannst du dich sch\u00fctzen<\/h2>\n<p>Die LeetAgent-Angriffe wurden zuerst von unserer <a href=\"https:\/\/www.kaspersky.de\/next?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kdaily_prodmen_sm-team___knext___\" target=\"_blank\" rel=\"noopener\">XDR-L\u00f6sung<\/a> erkannt. Dar\u00fcber hinaus haben die Abonnenten unseres APT-Bedrohungsdatendienstes <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/threat-intelligence?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Threat Intelligence Portal<\/a> Zugriff auf Details dieser Studie und stets aktuelle Informationen \u00fcber die ForumTroll-Gruppe und die Dante-Spyware.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"31069\">\n","protected":false},"excerpt":{"rendered":"<p>Unsere Experten haben einen interessanten Fund gemacht: Es gibt Tools, die sowohl von der APT-Gruppe ForumTroll als auch von Angreifern, die die Dante-Malware von Memento Labs nutzen, eingesetzt werden.<\/p>\n","protected":false},"author":2706,"featured_media":32870,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107],"tags":[522,1076,4240],"class_list":{"0":"post-32869","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-great","11":"tag-thesas2025"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/forumtroll-dante-leetagent\/32869\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/forumtroll-dante-leetagent\/12959\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/forumtroll-dante-leetagent\/28696\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/forumtroll-dante-leetagent\/31586\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/forumtroll-dante-leetagent\/30240\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/forumtroll-dante-leetagent\/40800\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/forumtroll-dante-leetagent\/13948\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/forumtroll-dante-leetagent\/54670\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/forumtroll-dante-leetagent\/23337\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/forumtroll-dante-leetagent\/29892\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32869","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=32869"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32869\/revisions"}],"predecessor-version":[{"id":32872,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32869\/revisions\/32872"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/32870"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=32869"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=32869"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=32869"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}