Cyberespionnage : Memento Labs lié à la campagne ForumTroll, selon Kaspersky

Steven K. DADJI 31 octobre 2025 2 min read

La société de cybersécurité Kaspersky a dévoilé lors du Security Analyst Summit 2025 en Thaïlande une enquête majeure sur ForumTroll, une campagne de cyberespionnage exploitant une vulnérabilité zero-day de Google Chrome (CVE-2025-2783). L’étude révèle un lien direct avec Memento Labs, le successeur de HackingTeam, célèbre fournisseur de logiciels espions

ForumTroll : des attaques ciblées et sophistiquées

Identifiée en mars 2025, l’opération ForumTroll a utilisé des e-mails de phishing sur mesure se faisant passer pour des invitations au forum Primakov Readings. Les victimes visées incluaient médias russes, institutions financières, universités et organismes gouvernementaux.

L’enquête a permis de détecter le malware LeetAgent, notable pour ses commandes en leet speak, une rareté dans le domaine des APT. L’analyse a mis en lumière des similitudes avec Dante, un logiciel espion plus avancé, et confirmé que les deux partagent un framework de chargement commun, établissant ainsi leur filiation avec HackingTeam/Memento Labs.

Dante, un malware conçu pour échapper à la détection

Dante intègre des techniques avancées d’anti-analyse, notamment l’offuscation via VMProtect, et évalue son environnement avant déploiement pour passer inaperçu. Boris Larin, chercheur principal chez Kaspersky GReAT, explique :

« Pour retracer l’origine de Dante, nous avons dû analyser des couches de code fortement obscurci et corréler des empreintes spécifiques sur plusieurs années. Chercher ses origines est un véritable calvaire. »

Les chercheurs ont également retracé l’usage de LeetAgent dès 2022, ainsi que d’autres attaques de ForumTroll en Russie et Biélorussie. Le groupe montre une maîtrise avancée du russe, bien que quelques erreurs suggèrent que tous les opérateurs ne sont pas natifs.

Détection et surveillance

La campagne exploitant LeetAgent a été détectée par Kaspersky Next XDR Expert, et les clients peuvent accéder aux indicateurs de compromission et mises à jour via le portail Kaspersky Threat Intelligence.

Kaspersky, un acteur mondial de confiance

Fondée en 1997, Kaspersky protège plus d’un milliard d’appareils contre les cybermenaces émergentes et les attaques ciblées. L’entreprise propose un portefeuille complet de solutions, allant de la protection avancée des terminaux aux services de Cyber Immunité, et accompagne plus de 200 000 organisations dans le monde pour sécuriser leurs données et infrastructures critiques.