【安全圈】Dante间谍软件再现前Hacking Team影子

关键词

恶意软件

卡巴斯基近期公布的调查揭开了一起持续性的全球网络间谍行动的面纱，研究人员将其命名为“论坛巨魔行动”（Operation ForumTroll）。攻击链的核心是一款名为 Dante 的商业级间谍软件，该软件由意大利公司 Memento Labs 开发，而 Memento Labs 正是臭名昭著的 Hacking Team 重塑后的新身份。此次行动最早在 2025 年 3 月被发现，目标多为俄罗斯与白俄罗斯的政府机构、科研单位、大学与媒体组织，攻击者用精心制作的个性化钓鱼邮件伪装为“普里马科夫国际论坛”的邀请函，将受害者引导到专门的诱饵页面上。

受害者点击链接后，诱饵站点会先运行一个“验证器”以确认访问者是真实用户，然后触发利用链。攻击者利用了 Google Chrome 中的一个零日漏洞 CVE-2025-2783，该漏洞通过利用 Windows 中一个长期存在的老问题突破了 Chromium 的安全沙箱，最终令攻击者能够在受害系统上获得高权限执行能力。卡巴斯基已将该漏洞通报给谷歌，补丁随即发布，但这次事件再次暴露出高定向、链式利用零日漏洞展开的攻击模式的危险与隐蔽性。

在取得初步访问后，攻击者并未立即暴露己方痕迹，而是通过一种称为 COM 劫持的手法在注册表中植入持久化入口，迫使本应加载的合法 Windows 组件在启动时同时载入恶意代码，从而在受害主机上建立长期存在的后门。卡巴斯基在被攻破系统中发现了名为 LeetAgent 的窃密模块，它能够搜集文档、执行系统命令并记录键盘输入，为更高级的控制平台提供通道。进一步的代码分析显示，LeetAgent 与 Dante 之间存在显著的代码与运行时关联，研究者据此判断 Dante 并非孤立的工具，而是一个整合了漏洞利用、装载器与遥控平台的完整商业间谍套件。

Dante 的出现将 Hacking Team 的影子再度投射到当下的监控市场。Hacking Team 自 2003 年成立以来以其强力的远程控制系统（RCS）闻名，但在 2015 年遭遇大规模数据泄露后名誉受损，2019 年经重组后以 Memento Labs 的名义继续活动。卡巴斯基在样本中直接发现了“Dante”字样以及与以往研发痕迹相呼应的技术实现，这表明旧有的间谍软件业务并未消失，反而在换名与重构后以更隐蔽的方式继续流通于商业与国家级客户之间。

对此类事件的深层警示在于：商业间谍工具一旦进入市场，不论厂商如何包装或改名，其技术与运作模式都可能被特定 APT 组织长期采用，形成针对特定地理或行业目标的持续威胁链。卡巴斯基强调，识别这类攻击不仅需要技术上的溯源与代码比对，更需结合基础设施、命令控制域名与利用链路进行整体归因（attribution），只有如此才能还原威胁全貌并推动政策与法律层面的应对。

随着 Dante 与 ForumTroll 的披露，安全团队应提高对高度定向钓鱼、基于浏览器的零日利用以及持久化注册表劫持技术的警惕，加强对外来邮件与附件的审查，及时打补丁并对可疑进程与 COM 注册项进行审计。而在更宏观的层面，这一案例也再次提醒监管机构与情报部门：对于商业间谍软件的生产与销售，需要更严格的透明度与监督措施，以防这些能力被用于侵犯隐私或在地缘政治博弈中造成严重后果。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！