4 hours ago
2
Ilustrasi(freepik)
TIM Riset dan Analisis Global Kaspersky (GReAT) menemukan bukti keterkaitan Memento Labs dengan serangan spionase siber. Temuan ini berasal dari investigasi terhadap Operasi ForumTroll, kampanye Ancaman Persisten Lanjutan (APT) yang memanfaatkan kerentanan zero-day di Google Chrome.
Pada Maret 2025, Kaspersky GReAT mengumumkan Operation ForumTroll, kampanye spionase siber yang mengeksploitasi celah zero-day Chrome CVE-2025-2783. Kelompok APT ini mengirim email phishing berupa undangan palsu ke acara Primakov Readings, menargetkan media, pemerintah, pendidikan, dan sektor keuangan Rusia.
Dalam penyelidikan, peneliti menemukan spyware LeetAgent digunakan pelaku. Malware ini unik karena memakai perintah bergaya leetspeak, bahasa yang jarang dipakai dalam malware APT. Analisis lanjutan menunjukkan kemiripan antara perangkat LeetAgent dan spyware lain yang lebih kompleks.
Dalam beberapa kasus, spyware lain itu dijalankan melalui LeetAgent atau berbagi kerangka kerja loader serupa. Temuan ini menegaskan keterkaitan antara kedua spyware dan beberapa serangan terkait.
Spyware lain menggunakan teknik anti-analisis canggih seperti obfuscation VMProtect, tetapi Kaspersky berhasil mengenali malware tersebut dan menamainya Dante. Penyelidikan menemukan spyware komersial bernama sama dipasarkan Memento Labs, penerus HackingTeam. Sampel terbaru spyware Remote Control System milik HackingTeam juga memperlihatkan kesamaan dengan Dante.
“Vendor spyware telah lama dikenal di industri. Namun, produk mereka sulit dilacak karena dipakai dalam serangan terarah, membuat identifikasi sangat menantang,” kata Boris Larin, peneliti keamanan utama Kaspersky GReAT. Menurutnya, mengungkap asal-usul Dante memerlukan pembongkaran kode rumit, penelusuran evolusi malware, dan pelacakan asal korporatnya.
Analisis Lingkungan
Untuk menghindari deteksi, Dante menganalisis lingkungannya terlebih dahulu sebelum menjalankan fungsi utamanya. Penelusuran menunjukkan LeetAgent aktif sejak 2022. Selama itu, kelompok ForumTroll APT melakukan serangan tambahan ke organisasi dan individu di Rusia serta Belarus. Mereka menguasai bahasa Rusia dengan baik dan memahami konteks lokal, meski kadang menunjukkan kesalahan yang menandakan bukan penutur asli.
Temuan ini menegaskan semakin kompleksnya lanskap ancaman siber global, di mana aktor-aktor APT terus mengembangkan teknik baru untuk menghindari deteksi dan meningkatkan efektivitas serangan mereka. Keterkaitan antara Memento Labs, LeetAgent, dan Dante menunjukkan adanya keterkaitan teknologi serta strategi dari pelaku spionase siber profesional yang beroperasi secara terselubung.
Kaspersky menekankan pentingnya kewaspadaan, pembaruan sistem keamanan secara berkala. Selain itu, kerja sama antar instansi juga penting dalam memantau dan menanggulangi ancaman yang terus berevolusi di ranah digital. (kaspersky/Z-2)
