Une nouvelle menace de cyberespionnage dévoilée par Kaspersky
En 2025, la recherche en cybersécurité a franchi une étape cruciale grâce à l’équipe de Kaspersky Global Research and Analysis Team (GReAT), qui a identifié une vague de cyberattaques orchestrées par Memento Labs, le successeur de la célèbre entreprise HackingTeam. Cette révélation s’inscrit dans le cadre de l’investigation d’une campagne sophistiquée baptisée Operation ForumTroll, exploitant une vulnérabilité zero-day dans le navigateur Google Chrome. Pour comprendre les enjeux actuels de la cybersécurité et ses tendances, consultez notre article Cybersécurité 2025 : les 6 tendances clés pour anticiper les cyber-menaces.
Operation ForumTroll : exploitation d’une faille zero-day Chrome
Le point de départ de cette découverte remonte à mars 2025, lorsque Kaspersky a mis en lumière cette campagne d’espionnage informatique avancée, ciblant principalement des institutions en Russie telles que des médias, des organismes gouvernementaux, des établissements éducatifs et des institutions financières. Le vecteur d’attaque principal était des emails de phishing minutieusement personnalisés, se faisant passer pour des invitations à un forum respecté, les Primakov Readings. Vous pouvez approfondir les mécanismes d’attaque par phishing et détection avancée dans notre article dédié à la exploration des tendances majeures de la cybersécurité en 2025.
Ce stratagème a permis aux cybercriminels de déployer un malware espion, initialement identifié sous le nom LeetAgent, un logiciel présenté comme unique de par ses commandes codées en « leetspeak », un langage codé rare dans ce type d’outils malveillants sophistiqués.
Le lien entre LeetAgent et le spyware Dante
Au fil de leurs analyses, les chercheurs de Kaspersky ont établi un lien étroit entre LeetAgent et un autre spyware avancé, baptisé Dante. Ce dernier se distingue par des mécanismes de protection complexes, tels que l’obfuscation via VMProtect, qui compliquent grandement son analyse. Pourtant, grâce à un travail minutieux de reverse engineering, les experts ont pu identifier ce logiciel malveillant, dont le nom figurait en clair dans le code source. Pour mieux comprendre l’importance des techniques avancées de reverse engineering en cybersécurité, découvrez notre article L’enjeu critique de la cybersécurité dans les projets d’innovation.
Des recherches approfondies ont montré que ce spyware Dante est en fait un produit commercial développé et distribué par Memento Labs, la nouvelle entité succédant à HackingTeam. Les échantillons récents de l’ancien logiciel Remote Control System, initialement conçu par HackingTeam, présentent d’ailleurs des similarités frappantes avec Dante, confirmant la continuité et l’évolution des technologies utilisées au sein de ce groupe.
« Le marché des vendeurs de spyware est connu, mais leurs produits restent difficiles à identifier dans des attaques ciblées. L’analyse de Dante a nécessité de décoder du code très lourdement obfusqué, en retraçant des éléments rares sur plusieurs années d’évolution du malware, tout en établissant une filiation corporate. Peut-être est-ce la raison pour laquelle ils l’ont appelé Dante : c’est un véritable voyage infernal pour quiconque chercherait ses origines », a déclaré Boris Larin, chercheur principal chez Kaspersky GReAT.
Techniques d’évasion inédites pour contourner la détection
Le spyware Dante intègre des méthodes d’évaluation d’environnement très sophistiquées permettant de déterminer si le contexte est propice à l’exécution de ses fonctions malveillantes. Cette stratégie vise à éviter tout déclenchement et analyse dans des environnements sécurisés ou surveillés, augmentant ainsi la furtivité des attaques et la difficulté pour les analystes de sécurité de comprendre son fonctionnement. Pour en savoir plus sur les innovations en matière de détection et défense proactive, explorez notre article sur la cybersécurité et ses enjeux numériques.
Une campagne agressive sur plusieurs fronts
Les premières apparitions de LeetAgent remontent à 2022, avec plusieurs opérations ciblant des organisations et des individus en Russie et en Biélorussie. Le profil de l’APT ForumTroll se caractérise par une excellente maîtrise de la langue russe ainsi qu’une connaissance approfondie des spécificités locales. Toutefois, certaines erreurs linguistiques laissent penser que les auteurs ne sont pas natifs, suggérant un groupe aux compétences mixtes, notamment dans le cadre des campagnes de cyberespionnage.
Surveillance avancée grâce à Kaspersky Next XDR Expert
Cette menace a été détectée en temps réel par la solution Kaspersky Next XDR Expert, démontrant l’importance des technologies responsables de la détection proactive dans le domaine de la cybersécurité. Les clients ayant recours au service de veille APT de Kaspersky ont accès à des rapports détaillés et à des mises à jour régulières à travers le portail Threat Intelligence, leur permettant de rester informés et protecteurs contre ce type d’attaques ciblées.
Présentation du Global Research & Analysis Team
Depuis sa création en 2008, le Global Research and Analysis Team de Kaspersky s’est imposé comme un acteur clé dans la lutte contre les menaces persistantes avancées (APT), le cyberespionnage, le ransomware et les tendances du cybercrime mondial. Composé d’une trentaine d’experts répartis sur plusieurs continents, ce groupe de recherche allie expertise, innovation et rigueur pour analyser et neutraliser les campagnes les plus complexes. Pour découvrir le dynamisme et l’écosystème des experts en cybersécurité, consultez notre analyse des startups de cybersécurité en France en 2025.
Kaspersky : un pilier mondial de la cybersécurité
Fondée en 1997, Kaspersky est une entreprise de cybersécurité reconnue mondialement, protégeant aujourd’hui plus d’un milliard d’appareils contre les menaces informatiques émergentes. Grâce à son savoir-faire en threat intelligence et à ses solutions innovantes, la société accompagne particuliers, entreprises, infrastructures critiques et gouvernements afin de parer aux attaques numériques les plus sophistiquées. Son portfolio couvre des protections pour la vie digitale personnelle, des produits dédiés à la sécurité des entreprises, ainsi que des solutions Cyber Immune pour contrer les menaces évolutives dans un écosystème numérique complexe.
Pour suivre l’évolution de cette menace et approfondir les indicateurs de compromission, Kaspersky invite les professionnels de la cybersécurité à consulter régulièrement les rapports publiés sur leur plateforme spécialisée.
