توصل فريق البحث والتحليل العالمي في شركة كاسبرسكي (GReAT) إلى أدلة جديدة تشير إلى ارتباط مجموعة "Memento Labs"، المعروفة سابقًا باسم "HackingTeam"، بموجة من الهجمات السيبرانية التجسسية المتقدمة التي استهدفت مؤسسات إعلامية وحكومية وتعليمية، عبر استغلال ثغرات أمنية في متصفح “جوجل كروم”.
اكتشاف جديد ضمن “عملية ForumTroll”
جاءت هذه النتائج بعد تحقيقات موسعة أجراها الفريق في إطار حملة "Operation ForumTroll" الخاصة بالتهديدات المتقدمة المستمرة (APT)، والتي تم الكشف عن تفاصيلها خلال قمة محللي الأمن 2025 التي تستضيفها تايلاند بين 26 و29 أكتوبر الجاري.
وكان فريق “GReAT” قد أعلن في مارس الماضي عن اكتشاف هذه العملية التي استغلت ثغرة أمنية في متصفح كروم تحمل الرمز (CVE-2025-2783). واستُخدمت الحملة في إرسال رسائل تصيّد احتيالي متنكرة في شكل دعوات لحضور منتدى “Primakov Readings”، استهدفت وسائل إعلام روسية ومؤسسات حكومية وتعليمية.
أدوات تجسس جديدة
كشفت التحقيقات عن استخدام المهاجمين برمجية تجسس جديدة تحمل اسم "LeetAgent"، تتميز بكتابة أوامرها بلغة leetspeak، وهي أسلوب ترميز غير شائع في البرمجيات الخبيثة المتطورة. وأظهر التحليل وجود تشابه كبير بين أدوات هذه الحملة وبرمجيات أخرى أكثر تقدمًا تم رصدها سابقًا، حيث تبين أن “LeetAgent” كانت تُستخدم أحيانًا لإطلاق برمجية تجسس ثانية أو العمل ضمن إطار تحميل مشترك معها.
تقنيات تخفٍّ متطورة
استخدمت برمجيات الحملة تقنيات متقدمة لتجنّب الكشف، من بينها تقنية التمويه VMProtect. وتمكّن فريق كاسبرسكي من تحليل الشيفرات البرمجية وتحديد اسم البرمجية الجديدة “Dante”، والتي تبيّن أنها منتج تجاري تروّج له مجموعة Memento Labs. وتشترك “Dante” في عدد من الخصائص التقنية مع أحدث نسخ برنامج التجسس الشهير “Remote Control System” الذي طوّرته سابقًا شركة HackingTeam.
تحليل طويل ومعقد
قال بوريس لارين، الباحث الأمني الرئيسي في فريق “GReAT”، إن تحديد مصدر برمجية “Dante” تطلب تحليلًا دقيقًا لطبقات متعددة من الشفرات المموهة ومقارنة بصمات رقمية على مدى سنوات من التطور البرمجي. وأوضح أن الاسم “Dante” جاء تعبيرًا عن صعوبة وتعقيد عملية التتبع، التي شبّهها بـ"رحلة طويلة في دهاليز الجحيم الرقمي".
أصول الهجوم وأهدافه
وأشار فريق كاسبرسكي إلى أن أول استخدام تم رصده لبرمجية “LeetAgent” يعود إلى عام 2022، وأن مجموعة “ForumTroll” واصلت هجماتها ضد أهداف في روسيا وبيلاروسيا. وتظهر من نتائج التحليل أن منفذي الهجمات يتقنون اللغة الروسية ويعرفون البيئة المحلية جيدًا، لكن بعض الأخطاء اللغوية كشفت أنهم ليسوا ناطقين أصليين بها.
حماية متقدمة ورصد مبكر
أكدت كاسبرسكي أن نظامها “Kaspersky Next XDR Expert” كان أول من رصد الهجوم، وأن التفاصيل التقنية الكاملة، إلى جانب التحديثات المستقبلية حول نشاط مجموعتي ForumTroll APT وMemento Labs، ستكون متاحة لعملاء الشركة عبر بوابة Kaspersky Threat Intelligence.
