كاسبرسكي تكشف تورط «Memento Labs» في هجمات تجسس إلكترونية متطورة

في تطور جديد يكشف عن تصاعد حرب التجسس الرقمي على مستوى العالم، أعلن فريق البحث والتحليل العالمي التابع لشركة كاسبرسكي (GReAT) عن اكتشاف صلة مباشرة بين شركة Memento Labs – التي تُعد الوريثة الفعلية لشركة HackingTeam الشهيرة – وبين موجة حديثة من الهجمات السيبرانية المتقدمة.
وجاء هذا الإعلان خلال قمة محللي الأمن 2025، التي استضافتها تايلاند بين 26 و29 أكتوبر الجاري، بعد تحقيق موسع أجرته كاسبرسكي في حملة تجسس إلكتروني عُرفت باسم ForumTroll.

بدأت القصة في مارس الماضي، حين رصد باحثو كاسبرسكي حملة تصيد إلكتروني متقنة استغلت ثغرة أمنية جديدة في متصفح جوجل كروم (CVE-2025-2783). اعتمد المهاجمون على رسائل بريد إلكتروني مزيفة صُممت بعناية لتبدو وكأنها دعوات رسمية لحضور منتدى Primakov Readings، واستهدفت مؤسسات إعلامية وجامعية وهيئات حكومية في روسيا.

وأثناء التحقيق، اكتشف الباحثون استخدام المهاجمين لبرنامج تجسس غير مألوف أطلق عليه اسم LeetAgent، يتميز بأن أوامره البرمجية مكتوبة بلغة leetspeak الشهيرة في أوساط القراصنة، وهي طريقة كتابة نادرة في برمجيات التجسس المتقدمة. ومع التعمق في التحليل، لاحظ الفريق وجود تشابه بين أدوات LeetAgent وبرنامج تجسس أكثر تطورًا ظهر في هجمات سابقة، ما قادهم إلى اكتشاف رابط مباشر بين البرمجتين وبين الهجمات ذاتها.

من خلال تحليل معمّق للشيفرة، تمكنت كاسبرسكي من تحديد هوية البرنامج الجديد الذي أطلق عليه الباحثون اسم Dante. ورغم محاولات التمويه والتعتيم باستخدام تقنيات متقدمة مثل VMProtect، تبيّن أن Dante ليس سوى نسخة مطورة من برامج التجسس التجارية التي تسوّقها شركة Memento Labs، المعروفة سابقًا باسم HackingTeam. كما أظهرت مقارنة إضافية بين عينات Dante وبرنامج Remote Control System التابع لـ HackingTeam تطابقًا كبيرًا يؤكد العلاقة بين الجهتين.

ويشير خبراء كاسبرسكي إلى أن هذا الكشف يُعد أحد أكثر التحقيقات تعقيدًا في السنوات الأخيرة، إذ تطلب تتبعًا طويلًا لطبقات من الشيفرات المموهة والأنماط البرمجية الممتدة عبر سنوات، حتى الوصول إلى جذور البرنامج. وقال بوريس لارين، كبير الباحثين الأمنيين في كاسبرسكي GReAT:
"ربما لم يُسمَّ البرنامج Dante عبثًا، فكما في ملحمة دانتي الشهيرة، كانت رحلتنا لاكتشاف أصله رحلة شاقة عبر طبقات متعددة من الظلام الرقمي."

كما أظهر التحليل أن أول ظهور معروف لـ LeetAgent يعود إلى عام 2022، عندما بدأت مجموعة ForumTroll APT تنفيذ هجماتها ضد مؤسسات حكومية وإعلامية في روسيا وبيلاروسيا. ورغم براعتهم في اللغة الروسية ومعرفتهم الدقيقة بالبيئة المحلية، لاحظ الباحثون أن المهاجمين ليسوا من المتحدثين الأصليين بها، وهو ما يثير تساؤلات حول هويتهم الحقيقية وانتماءاتهم الجغرافية.

يُذكر أن اكتشاف الهجوم الذي استخدم LeetAgent تم لأول مرة عبر نظام Kaspersky Next XDR Expert، الذي مكّن الباحثين من تتبع نشاط البرنامج الخبيث وربطه بسلسلة من الهجمات الأخرى.

وتتيح كاسبرسكي لعملائها من المؤسسات والحكومات إمكانية الاطلاع على التفاصيل الكاملة حول حملة ForumTroll وبرنامج Dante عبر منصة Kaspersky Threat Intelligence Portal، التي تضم تحديثات دورية عن التهديدات السيبرانية المتقدمة حول العالم.