Thought Leadership
Forscher von Kaspersky haben nach intensiver Analyse eine Verbindung zwischen der berüchtigten Hackergruppe Memento Labs und einer aktuellen Cyberspionage-Kampagne entdeckt.
Die Angriffe richten sich gezielt gegen Medienhäuser, Finanzinstitutionen, Bildungseinrichtungen und staatliche Organisationen – mit ausgefeilter Technik und maßgeschneiderter Täuschung.
Im Zentrum der Angriffsserie steht eine Schwachstelle im Chrome-Browser (CVE-2025-2783), die bislang unbekannt war und von den Tätern für sogenannte Zero-Day-Angriffe genutzt wurde. Über personalisierte E-Mails, die als offizielle Einladungen zu der renommierten Konferenz „Primakov Readings“ getarnt waren, wurden Opfer gezielt in die Falle gelockt.
Diese Phishing-Kampagne, die unter dem Namen „Operation ForumTroll“ bekannt wurde, wurde erstmals im März 2025 von Kasperskys Global Research & Analysis Team beschrieben. Ihre technische Raffinesse und die Auswahl der Ziele lassen auf einen professionellen, staatlich unterstützten Hintergrund schließen.
LeetAgent und Dante: Werkzeuge einer verdeckten Offensive
Bei der Untersuchung stießen die Experten auf eine bislang kaum bekannte Schadsoftware namens LeetAgent. Auffällig ist ihre ungewöhnliche Programmierung: Die Steuerbefehle sind in sogenanntem „Leetspeak“ – einer Art Hacker-Kunstsprache – verfasst, was selbst in der Welt der Spionage-Malware selten vorkommt.
Weitere Analysen führten zu einer zweiten, noch komplexeren Schadsoftware namens Dante. Sie zeigt deutliche Parallelen zu Programmen, die in der Vergangenheit vom italienischen Überwachungsanbieter Hacking Team – heute Memento Labs – entwickelt wurden. Code-Strukturen, Funktionsweisen und Verschleierungstechniken deuten darauf hin, dass Dante aus derselben Werkstatt stammt.
Um einer Entdeckung zu entgehen, überprüft die Spyware vor ihrer Aktivierung die Umgebung, in der sie läuft. Wird eine Analyseumgebung erkannt, bleibt die Software inaktiv – ein gängiger, aber in diesem Fall besonders ausgefeilter Tarnmechanismus.
Memento Labs: Von Überwachung zu Spionage
Memento Labs ist kein unbeschriebenes Blatt. Das Unternehmen, einst unter dem Namen Hacking Team bekannt, geriet bereits vor Jahren in die Schlagzeilen, weil seine kommerzielle Spionagesoftware von autoritären Regierungen eingesetzt wurde. Dass nun wieder Hinweise auf ähnliche Aktivitäten auftauchen, wirft Fragen zur Rolle privater Anbieter im Bereich staatlich unterstützter Cyberoperationen auf.
Nach Angaben von Kaspersky gibt es klare technische Spuren, die eine Verbindung zwischen Dante und der früheren Hacking-Team-Infrastruktur nahelegen. Die Ähnlichkeiten betreffen sowohl den Aufbau der Module als auch die genutzten Verschlüsselungsmechanismen.
Sprachliche Tarnung mit kleinen Fehlern
Die Täter hinter Operation ForumTroll agieren laut Kaspersky mit bemerkenswertem Wissen über russische Sprache und Kultur. Dennoch lassen sich in einigen Phasen der Kommunikation kleine, charakteristische Fehler finden – ein Hinweis darauf, dass es sich vermutlich nicht um Muttersprachler handelt.
Die ersten Spuren der Schadsoftware LeetAgent reichen laut Analyse bis ins Jahr 2022 zurück. Seitdem haben die Angreifer ihre Werkzeuge stetig weiterentwickelt und in unterschiedlichen Kampagnen eingesetzt.
Der Fall verdeutlicht erneut, wie verschwommen die Grenzen zwischen staatlicher Überwachung, kommerziellen Sicherheitslösungen und kriminellen Aktivitäten geworden sind. Werkzeuge, die ursprünglich für den geheimdienstlichen Einsatz entwickelt wurden, tauchen inzwischen in gezielten Spionagekampagnen auf, die sich gegen zivile Ziele richten.
Für IT-Sicherheitsforscher bleibt die Identifikation solcher Akteure eine Herausforderung. Starke Verschleierung, getarnte Infrastrukturen und hybride Werkzeuge machen eine eindeutige Zuordnung oft unmöglich – und zeigen, dass Cyberspionage längst ein professionelles Geschäft geworden ist.
Die Analyse von Kaspersky legt nahe, dass Memento Labs erneut eine aktive Rolle in der globalen Cyberlandschaft spielt. Ihre mutmaßlichen Werkzeuge – LeetAgent und Dante – stehen beispielhaft für eine neue Generation von Spionagesoftware, die auf Tarnung, Automatisierung und psychologische Täuschung setzt.
Was als gezielte Kampagne gegen ausgewählte Organisationen begann, offenbart ein größeres Muster: den Wandel von Cyberangriffen zu hochpräzisen Informationsoperationen, in denen Technologie und menschliche Manipulation Hand in Hand gehen.
