Un sofisticato spyware commerciale italiano, sviluppato da Memento Labs e battezzato "Dante", è finito sotto i riflettori dopo essere stato collegato a una campagna di attacchi informatici che ha sfruttato una vulnerabilità critica nei browser basati su Chromium. L'azienda dietro questo strumento di sorveglianza ha radici profonde nel controverso passato di Hacking Team, la società milanese di spyware che finì al centro di uno scandalo internazionale nel 2015.
Le origini di questa vicenda risalgono al marzo scorso, quando i ricercatori di Kaspersky identificarono quella che venne chiamata Operation ForumTroll. Gli analisti di sicurezza hanno ora pubblicato dettagli tecnici più approfonditi sulla catena di attacco, rivelando come il malware utilizzato nella campagna fosse in realtà operativo già dal 2022. Le indagini su questi attacchi precedenti hanno portato alla luce l'esistenza di Dante, uno spyware commerciale mai documentato prima d'ora.
Dopo che Hacking Team subì una violazione devastante nel 2015, l'incidente rivelò vendite a regimi autoritari, l'accesso a vulnerabilità zero-day e collaborazioni con agenzie di intelligence governative. Nel 2019, InTheCyber Group acquisì l'azienda fallita e utilizzò le sue risorse tecniche e il know-how per dare vita a Memento Labs. Quattro anni dopo questa trasformazione, alla conferenza ISS World Middle East and Africa del 2023, la nuova società presentò ufficialmente Dante, mantenendo però riservati i dettagli tecnici del prodotto.
Le organizzazioni russe prese di mira da Operation ForumTroll, tra cui testate giornalistiche, università, centri di ricerca, istituzioni governative e istituti finanziari, ricevevano email di phishing accuratamente personalizzate. Questi messaggi contenevano inviti apparentemente legittimi al forum Primakov Readings, con link malevoli progettati per avere una durata limitata nel tempo.
L'arsenale tecnico degli attaccanti includeva uno script validatore che filtrava i visitatori del sito compromesso, garantendo che solo i bersagli realmente interessanti venissero infettati. Il cuore dell'operazione risiedeva nello sfruttamento della CVE-2025-2783, una vulnerabilità zero-day che permetteva di evadere la sandbox di sicurezza di Chrome. Questa falla consentiva l'esecuzione di shellcode nel processo del browser della vittima, installando un caricatore persistente per iniettare una DLL dannosa.
La DLL decriptava il payload principale chiamato LeetAgent, uno spyware modulare con capacità di eseguire comandi, gestire operazioni sui file, registrare la pressione dei tasti e sottrarre dati. I ricercatori di Kaspersky hanno notato una caratteristica peculiare di questo strumento: l'uso del "leetspeak" nell'implementazione dei comandi, un elemento distintivo che ha portato gli esperti a ipotizzare che anche LeetAgent possa essere uno strumento commerciale di sorveglianza.
L'analisi forense ha permesso di tracciare l'utilizzo di LeetAgent fino agli attacchi del 2022 contro obiettivi in Russia e Bielorussia. In alcuni casi specifici, questo malware fungeva da trampolino di lancio per introdurre nei sistemi compromessi il più sofisticato Dante. Le somiglianze nel codice tra Dante e il vecchio Remote Control System di Hacking Team hanno permesso agli analisti di attribuire gli strumenti a Memento Labs.
Dante si distingue per la sua architettura modulare e per un meccanismo di autodistruzione progettato per coprire le tracce. Lo spyware recupera i suoi componenti da un server di comando e controllo e, se non riceve comunicazioni dal server degli attaccanti per un numero prestabilito di giorni, cancella autonomamente se stesso e tutte le tracce della sua attività. Questa caratteristica rende particolarmente difficile l'analisi forense post-incidente.
Nonostante gli sforzi investigativi, i ricercatori non sono riusciti a recuperare alcun modulo di Dante per un'analisi approfondita, lasciando le funzionalità specifiche e le capacità complete dello spyware ancora non documentate. Questa lacuna informativa testimonia l'efficacia delle contromisure anti-analisi implementate dagli sviluppatori.
Un aspetto cruciale da considerare riguarda l'attribuzione della vulnerabilità zero-day. Sebbene Kaspersky abbia collegato lo spyware avanzato a Memento Labs, l'autore della falla di evasione della sandbox di Chrome potrebbe essere un'entità completamente diversa. Questo evidenzia la complessità dell'ecosistema degli attacchi informatici, dove diversi attori specializzati possono collaborare o fornire componenti distinti della catena di attacco.
Google ha corretto la CVE-2025-2783 nella versione 134.0.6998.178 di Chrome, rilasciata il 26 marzo. Anche Mozilla ha affrontato il problema in Firefox, dove la vulnerabilità è stata tracciata come CVE-2025-2857 e risolta nella versione 136.0.4 del browser.
