اكتشاف برمجية تجسس جديدة من مجموعة "HackingTeam" خلال قمة محللي الأمن 2025

توصل خبراء أمن المعلومات إلى أدلة تشير إلى وجود صلة بين مجموعة ""Memento Labs، المعروفة سابقًا باسم"HackingTeam"، وموجة جديدة من هجمات التجسس الإلكتروني حيث جاء هذا الاكتشاف بعد تحقيقات أجراها الفريق في إطار حملة "Operation "ForumTroll الخاصة بالتهديدات المتقدمة المستمر (APT)، والتي استغلت ثغرة أمنية في متصفح جوجل كروم. 

قمة محللي الأمن 

 تم عرض  نتائج هذا البحث خلال قمة محللي الأمن 2025، التي تعقد فعالياتها في تايلاند بين 26 و29 أكتوبر،ففي مارس عام 2025، كشف فريق البحث والتحليل العالمي في كاسبرسكي عن حملة التجسس الإلكتروني المتطورةOperation ForumTroll، التي استغلت ثغرة أمنية في متصفح جوجل كروم تُعرف بالرمز.CVE-2025-2783 ونفّذت الهجوم مجموعة تهديدات متقدمة مستمرة، حيث أرسلت رسائل تصيّد احتيالي مموّهة في شكل دعوات لحضور منتدى Primakov Readings، واستهدفت من خلالها وسائل إعلام روسية ومؤسسات تعليمية وهيئات حكومية.

توصل الباحثون خلال تحقيقاتهم في عملية Operation ForumTroll إلى أن المهاجمين استخدموا برمجية التجسسLeetAgent، التي تميّزت بأوامرها البرمجية المكتوبة بلغةleetspeak، وهي ميزة غير مألوفة في البرمجيات الخبيثة المستخدمة في الهجمات المتقدمة المستمرة.

وكشف التحليل الإضافي عن أوجه تشابه بين مجموعة الأدوات المستخدمة في هذه الحملة وبين برمجية تجسس أكثر تطورًا رصدها فريق GReAT في هجمات أخرى.

 وأكد الباحثون وجود صلة بين البرمجيتين والهجمات، بعدما تبيّن أن LeetAgent كانت تُطلق البرمجية الثانية في بعض الحالات، أو أن كلتيهما تعتمدان على إطار تحميل مشترك. 

صحيح أنّ برمجيات التجسس الأخرى استخدمت تقنيات متقدمة للتخفي من التحليل، منها تقنية التمويه VMProtect، بيد أنّ كاسبرسكي توصلت إلى اسم البرمجية الخبيثة من كودها البرمجي وحددتها باسم Dante. واكتشف باحثو كاسبرسكي أنّ برمجية تجسس تجاريةً لها الاسم نفسه كانت تروج لها مجموعة Memento Labs، التي أعيد إطلاقها بالمسمى الجديد خلفًا للاسم القديم HackingTeam. 

علاوة على ذلك تتشابه برمجية Dante مع أحدث عينات برمجية التجسس Remote Control System من HackingTeam، التي حصل عليها فريق GReAT.  

اكد بوريس لارين، باحث أمني رئيسي في فريق GReAT لدى كاسبرسكى  أنه ثمة شركات مصنعة لبرمجيات التجسس معروفة في هذا القطاع، تجعل رصد منتجاتها صعبًا في حالات الهجمات الموجّهة التي يتعذر فيها تحديد هوية المصنّع. وقد استلزم الأمر لتحديد مصدر برمجية Dante تحليل طبقات من الشيفرة المموهة، وتتبع بعض البصمات النادرة طوال أعوام من تطور البرمجيات الخبيثة، وربطها بأصول الشركات. ولهذا السبب سُمّيت البرمجية Dante، لكون تتبّع جذورها عملية متعبة وطويلة.  

اكتشاف هجمات إضافية 

رصد الباحثون أول استخدام لبرمجية LeetAgent الخبيثة عام 2022، واكتشفوا هجمات إضافية شنتها مجموعة ForumTroll على مؤسسات وأفراد في روسيا وبيلاروسيا وتتسم هذه المجموعة بإتقانها الشديد للغة الروسية ومعرفتها الدقيقة بالخصوصيات المحلية ومع ذلك أوضحت بعض الأخطاء أنّ المهاجمين ليسوا متحدثين أصليين للغة الروسية.