Google Chrome的一个零日漏洞被用于传播与意大利公司Memento Labs相关的恶意软件Dante。该漏洞被用于针对俄罗斯等目标的钓鱼攻击,并强调需加强整体安全措施以应对此类威胁。 2025-10-30 13:18:36 Author: www.cybersecurity360.it(查看原文) 阅读量:7 收藏
Una vulnerabilità zero-day in Google Chrome, sfruttata nell’operazione ForumTroll all’inizio di quest’anno, ha diffuso malware collegato al vendor italiano di spyware Memento Labs, frutto dell’acquisizione di Hacking Team da parte di IntheCyber Group.
A scoprire l’operazione ForumTroll è stata Kaspersky nel mese di marzo.
“Il caso dello spyware Dante, sviluppato dall’azienda Memento Labs, rappresenta l’ennesimo segnale dell’evoluzione e della pericolosa espansione del mercato globale della sorveglianza digitale”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
“Il problema degli spyware ‘ricilati’ o ‘riciclabili’ non è nuovo ed è uno dei problemi ai quali chi produce captatori o ‘trojan di Stato’ deve prestare particolare attenzione”, mette in guardia Paolo Dal Checco, consulente informatico forense e Ceo della società Forenser.
Ecco come mitigare il rischio, perché, secondo Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0, “se si crede che la patch del browser basti a dormire sonni tranquilli, il rischio è di sbagliare completamente”.
Spyware Dante: cosa sappiamo
La campagna prendeva di mira organizzazioni russe – mezzi di comunicazione, università, centri di ricerca, organizzazioni governative e istituzioni finanziarie – con inviti ben congegnati al forum Primakov Readings che contenevano un link dannoso.
Era sufficiente caricare il link in qualsiasi browser web basato su Chromium per infettare il sistema informatico.
Secondo i ricercatori di Kaspersky, la diffusione del malware è avvenuta sfruttando CVE-2025-2783, una vulnerabilità zero-day di tipo sandbox escape nel browser Chrome.
“Qui non stiamo parlando solo di una falla tecnico-accidentale, ma di una catena di attacco sofisticata, con sandbox bypass, loader persistente e set di strumenti per exfiltrazione, keylogging e controllo remoto“, mette in guardia Sandro Sana.
La catena di attacchi
Nel report, Kaspersky ha fornito ulteriori dettagli sulla catena di attacchi utilizzata nell’operazione ForumTroll: il malware utilizzato nella campagna risale almeno al 2022 e ha portato alla scoperta di altri attacchi contro organizzazioni in Russia e Bielorussia.
Analizzando lo storico degli attacchi più vecchi, i ricercatori hanno trovato un malware sconosciuto che hanno identificato come spyware commerciale chiamato ‘Dante’ e sviluppato dalla società italiana Memento Labs.
LeetAgent e spyware Dante
Gli attacchi dell’operazione ForumTroll iniziano con un’email di phishing contenente un link personalizzato e temporaneo al sito malevolo, dove uno script di convalida filtra i visitatori per assicurarsi che solo gli obiettivi di interesse vengano compromessi.
Nella fase successiva, gli aggressori hanno sfruttato CVE-2025-2783 per eseguire lo shellcode sul processo di navigazione nel browser della vittima e installare un loader persistente per iniettare una DLL malevola.
La DLL ha decriptato il payload principale chiamato LeetAgent, uno spyware modulare che supporta l’esecuzione di comandi, operazioni sui file, keylogging e furto di dati.
Il payload dello spyware Dante
I ricercatori di Kaspersky sottolineano che LeetAgent è unico per il suo utilizzo del leetspeak nell’implementazione dei comandi e ritengono che potrebbe anche essere uno strumento spyware commerciale.
I ricercatori hanno ricondotto l’uso di LeetAgent agli attacchi del 2022 contro obiettivi in Russia e Bielorussia. In alcuni casi, LeetAgent è stato utilizzato per introdurre Dante.
A causa delle affinità del codice di Dante con il malware RCS di Hacking Team, i ricercatori di Kaspersky sono altamente convinti che questi strumenti siano attribuibili a Memento Labs.
Dante è uno spyware modulare che recupera componenti da un server di comando e controllo (C2). Se non viene ricevuta alcuna comunicazione dal server dell’autore dell’attacco per un numero specificato di giorni, il malware “elimina se stesso e tutte le tracce della sua attività”.
I ricercatori non sono riusciti a recuperare alcun modulo per l’analisi, quindi le caratteristiche e le funzionalità specifiche dello spyware Dante rimangono ignote.
Dopo Paragon: un problema etico e politico
Memento Labs è il nome di una nuova società fondata sulla ricerca e l’esperienza dell’ex Hacking Team, fornitore di spyware con sede a Milano precedentemente noto per il suo Remote Control System (RCS) venduto alle autorità come strumento di sorveglianza.
Il famigerato Hacking Team ha subito una violazione nel 2015, dal cui incidente, che ha segnato il destino dell’azienda, sono emerse vendite a regimi autoritari, accesso a exploit zero-day e interazioni con clienti dei servizi segreti governativi.
“Senza entrare nel merito dei legami che hanno portato competenze e soluzioni dall’ex Hacking Team a questa nuova società, per ammissione del Ceo di Memento Labs”, continua Paganini, “ci troviamo dinanzi ad un malware utilizzato da un cliente governativo che avrebbe usato una versione obsoleta, evento che apre ad una riflessione più ampia”.
Chi controlla davvero l’uso di questi strumenti una volta venduti
Il problema infatti “non è soltanto tecnico, ma etico e politico: chi controlla davvero l’uso di questi strumenti una volta venduti?“, si chiede Paganini.
Secondo Paganini, “il Ceo di Memento Labs afferma di aver chiesto ai clienti di cessare l’uso dello spyware, ma tale ‘autoregulation’ risulta spesso debole e priva di meccanismi di verifica indipendente per la natura stessa delle attività espletate da vendor di software di sorveglianza. Il caso Paragon ne è la dimostrazione“.
Nel 2019 InTheCyber Group ha acquisito l’azienda, che ha utilizzato le risorse dell’Hacking Team per costituire Memento Labs.
Quattro anni dopo, alla conferenza ISS World Middle East and Africa, Memento Labs ha presentato il suo nuovo spyware Dante, anche se i dettagli sono rimasti riservati.
“Mentre illustri colleghi sostengono che le ceneri delle aziende più controverse possono sempre dare vita a nuove forme di sorveglianza”, mette in guardia Paganini, “non parlerei di ceneri in termini di cessata attività, ma in taluni casi di diversione per mascherare la metamorfosi voluta da agenzie di intelligence, per continuare ad operare lontano da occhi indiscreti“.
Secondo Paganini, se “l’Italia vuole evitare di essere ricordata come la ‘culla europea dello spyware’”, invece, “deve assumersi un ruolo guida nella definizione di standard etici e legali per la cyber intelligence, promuovendo trasparenza, responsabilità e tutela dei diritti fondamentali.
Il caso Dante non è solo una vicenda tecnica o di cronaca, ma un campanello d’allarme: in un mondo dove la sorveglianza diventa un’industria in piena espansione, la democrazia rischia di essere la prima vittima invisibile“, conclude Paganini.
Lo spyware Dante e i rischi delle soluzioni on-premise
Un software o servizio legittimo in un certo periodo o per un certo fascicolo giudiziario non deve poter essere utilizzato (o riutilizzato) in altri periodi o per altri fascicoli.
Per fare un esempio più concreto, il problema equivale al fornire a un cliente un’arma che deve funzionare solo per alcuni giorni e/o contro una vittima specifica ma che il cliente è in grado di “sblocare” utilizzandola fuori da queste regole, contro chiunque e anche dopo il termine dell’incarico.
La sicurezza e privacy che deriva dalle soluzioni on premise deve essere quindi soppesata con il rischio che queste ‘armi’ possano essere innescate anche in contesti diversi da quello per le quali sono state vendute o in periodi che esulano da quello legato al contratto di acquisto o all’autorizzazione dell’Autorità giudiziaria.
Tra l’altro questo non è l’unico rischio, ve n’è uno ancora peggiore e cioè che le vittime del malware, una volta identificata la presenza su un proprio dispositivo, possano essere in grado di ‘modificarlo’ tramite reverse engineering per utilizzarlo contro terzi.
Chiaramente le società che producono i captatori fanno particolare attenzione al fatto che i loro software non siano ‘ricilabili’ dalle vittime stesse, soprattutto per il fatto che al limite può essere facilmente disassemblabile e quindi copiabile il codice del payload – cioè il programma che spia e invia i dati a un qualche server remoto – ma non il vettore di attacco, che spesso è il punto delicato della supply chain dei sistemi d’infezione remota e captazione.
Paolo Dal Checco
Come mitigare il rischio
Mentre Kaspersky ha attribuito con elevata probabilità lo spyware Dante a Memento Labs, l’autore dello zero-day che consente di eludere la sandbox di Chrome potrebbe essere un’entità diversa.
Chrome ha risolto il CVE-2025-2783 nella versione 134.0.6998.178, rilasciata il 26 marzo.
Anche Mozilla ha risolto il problema in Firefox, tracciato come CVE-2025-2857, nella versione 136.0.4 del browser.
Ma applicare le patch non è sufficiente. “La vicenda dello zero-day nel Google Chrome sfruttato da una spyware suite italiana ridisegna la minaccia: non è più questione ‘puntuale’ ma sistemica”, conclude Sandro Sana: “Se sei CISO, non è possibile limitarsi a “mettere la spunta” alla patch X: serve un presidio continuo di browser, endpoint e rete, threat-hunting attivo, e una governance che riconosca che la reputazione, e il rischio normativo, valgono oro quanto quello operativo”.
Infine, “il server su cui vengono convogliati i dati (di queste soluzioni on-premise) dovrebbe essere gestito con cautela – per essere in primis conforme alle direttive e alla legislazione – e non troppo facilmente personalizzabile”, conclude Paolo Dal Checco, “altrimenti chi trova un software di captazione può essere in grado di fare reverse engineering, ricodificarlo, inviarlo a terzi anche fuori dal periodo di validità/ supporto/ concessione dello stesso e programmare la raccolta dei dati su server diversi da quelli inizialmente impostati o permessi dall’Autorità giudiziaria”.
如有侵权请联系:admin#unsafe.sh