Teknogav.com – Tim Riset dan Analisis Global Kaspersky (Global Research & Analysis Team/GReAT) mendapatkan temuan terkait gelombang baru serangan spionase siber. Awalnya, Kaspersky GReAT melakukan investigasi Operasi ForumTroll, yaitu kampanye Advanced Persistent Threat (APT) yang mengeksploitasi kerentanan zero-day di Google Chrome, CVE-2025-2783. Temuan Kaspersky justru mengungkap bukti yang menghubungkan penerus HackingTeam, Memento Labs dengan serangan spionase siiber.

Operasi Forum Troll yang diungkap Kaspersky GReAT pada Maret 2025 menunjukkan pengiriman email phishing berkedok undangan ke forum Primakov Readings. Sasaran kelompok APT tersebut adalah media Rusia, insititusi pendidikan dan keuangan, sampai organisasi pemerintahan. Serangan tersebut diidentifikasi para peneliti menggunakan spyware LeetAgent yang menonjol karena ditulis dalam leetspeak, fitur langka dalam malware APT. Kaspersky juga mengamati adanya kesamaan antara perangkatnya dan spyware yang lebih canggih dalam serangan lain. Pada beberapa kasus, spyware yang terakhir diluncurkan LeetAgent atau mereka berbagi kerangka kerja loader. Hubungan antara keduanya dan antara kedua serangan tersebut dikonfirmasi oleh para peneliti.

Baca juga: Gunakan Email Phishing, Trojan Efimer Makan Lebih dari 5.000 Korban

Teknik anti analisis canggih telah digunakan spyware lain, termasuk obfuscation VMProtect. Namun, Kaspersky mengambil nama malware dari kode dan mengidentifikasinya sebagai Dante. Para peneliti juga menemukan bahwa spyware komersial dengan nama yang sama dipromosikan oleh Memento Labs, penerus HackingTeam yang berganti nama. Kesamaan dengan Dante juga ditemukan pada sampel terkini spyware Sistem Kontrol Jarak Jauh Hacking Team.

“Meskipun keberadaan vendor spyware sudah dikenal luas di industri ini, produk mereka tetap sulit dipahami, terutama dalam serangan tertarget yang identifikasinya sangat sulit. Mengungkap asal-usul Dante menuntut penguraian lapisan kode yang sangat tersembunyi, melacak beberapa sidik jari langka selama bertahun-tahun evolusi malware, dan menghubungkannya dengan garis keturunan perusahaan. Mungkin itulah alasan mereka menyebutnya Dante, ada perjalanan yang sangat berat bagi siapa pun yang mencoba menemukan akarnya,” ucap Boris Larin, kepala peneliti keamanan di Kaspersky GReAT.

Baca juga: Penjahat Siber Eksploitasi Kerentanan Zero-day Chrome untuk Curi Aset Kripto

Dante menggabungkan cara unik untuk menganalisis lingkungannya sebelum menentukan kemampuan menjalankan fungsinya dengan aman, upaya ini dilakukan untuk menghindari deteksi.

Para peneliti menelusuri penggunaan pertama LeetAgent hingga tahun 2022. Hasil penelusuran menemukan serangan tambahan yang dilancarkan ForumTroll APT menargetkan organisasi dan individu di Rusia dan Belarus. Kelompok ini menonjol karena penguasaan bahasa Rusia yang kuat dan pengetahuan mengenai nuansa lokal. Hal tersebut merupakan ciri-ciri yang diamati Kaspersky dalam kampanye lain yang terkait dengan ancaman APT ini. Namun, kesalahan yang terkadang muncul menunjukkan bahwa para penyerang bukanlah penutur asli.

Baca juga: Kampanye Berkedok Email Pemberitahuan Pelanggaran dari Firma Hukum Sebarkan Spyware

Kaspersky Next XDR Expert berhasil mendeteksi serangan yang memanfaatkan LeeAgent pertama kali. Rincian mengenai penelitian ini, serta informasi terkini mengenai ForumTroll APT dan Dante dapat dilihat di Kaspersky Threat Intelligence Portal.