Source: TechCrunch. Dans un article de Lorenzo Franceschi-Bicchierai, TechCrunch relaie un rapport de Kaspersky attribuant un nouveau spyware Windows nommé « Dante » à Memento Labs (ex-Hacking Team), observé contre des victimes en Russie et au Bélarus, avec confirmation par le PDG de Memento.
• Kaspersky a détecté une campagne où un groupe baptisé « ForumTroll » a utilisé des appâts de type invitations au forum de politique et d’économie russe « Primakov Readings » pour viser un large éventail d’organisations en Russie (médias, universités, organismes gouvernementaux). Kaspersky note une forte maîtrise du russe par les attaquants, tout en soulignant des erreurs indiquant qu’ils ne seraient pas natifs. 🎯
• Le spyware « Dante » (Windows) serait l’évolution de l’outillage hérité de Hacking Team, que Memento a « amélioré » jusqu’en 2022 avant de le remplacer par Dante. Un marqueur laissé dans le code — « DANTEMARKER » — a servi d’indice d’attribution à Memento. 🔎
• Memento a confirmé la paternité de Dante et blâmé un client gouvernemental pour avoir utilisé une version obsolète (« agent déjà mort »), indiquant avoir demandé l’arrêt de l’usage de son malware Windows et avoir prévenu ses clients depuis décembre 2024. Memento affirme ne plus supporter ce spyware d’ici la fin de l’année et se concentrer désormais sur des spywares mobiles. L’entreprise développe certains 0‑days et en source d’autres, mais précise que le 0‑day Chrome lié à une vague d’attaques détectée par Kaspersky n’a pas été développé par Memento. 🐛
• Contexte et antécédents: Memento est né en 2019 du rachat de Hacking Team (pour un euro) par Paolo Lezzi. Hacking Team avait été compromis en 2015 (400 Go de données internes divulguées) et associé à des abus contre des journalistes et dissidents par plusieurs États. Memento indiquerait aujourd’hui moins de 100 clients, avec seulement deux anciens employés d’Hacking Team encore en poste. Pour Citizen Lab, la découverte illustre la prolifération continue des technologies de surveillance. 🕵️♂️
• IOCs et TTPs observés:
- Malware: Dante (Windows)
- Marqueur de code (IOC): “DANTEMARKER”
- Groupe: ForumTroll
- Leurre: invitations au forum « Primakov Readings »
- TTPs: hameçonnage via liens; contexte d’une vague exploitant un 0‑day Chrome (l’éditeur du 0‑day non attribué à Memento); ciblage de médias, universités, organismes gouvernementaux en Russie
Type d’article: Article de presse spécialisé résumant une publication de recherche de Kaspersky et la confirmation de Memento sur l’attribution.
🔗 Source originale : https://techcrunch.com/2025/10/28/ceo-of-spyware-maker-memento-labs-confirms-one-of-its-government-customers-was-caught-using-its-malware/