{"id":28696,"date":"2025-11-08T08:52:59","date_gmt":"2025-11-08T14:52:59","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28696"},"modified":"2025-11-08T08:52:59","modified_gmt":"2025-11-08T14:52:59","slug":"forumtroll-dante-leetagent","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/forumtroll-dante-leetagent\/28696\/","title":{"rendered":"La operaci\u00f3n ForumTroll y sus colegas italianos"},"content":{"rendered":"

Nuestros expertos del Equipo de An\u00e1lisis e Investigaci\u00f3n Global de Kaspersky (GReAT) reconstruyeron la cadena de infecci\u00f3n que se utiliz\u00f3 en los ataques del grupo ForumTroll APT. Durante la investigaci\u00f3n, descubrieron que las herramientas que utiliz\u00f3 ForumTroll tambi\u00e9n se usaban para distribuir el malware comercial Dante. Boris Larin hizo una presentaci\u00f3n detallada de esta investigaci\u00f3n<\/a> en la conferencia de la Cumbre de Analistas de Seguridad 2025 en Tailandia.<\/p>\n

\u00bfQu\u00e9 es ForumTroll APT y c\u00f3mo funciona?<\/h2>\n

En marzo, nuestras tecnolog\u00edas detectaron una oleada de infecciones<\/a> en empresas rusas con un sofisticado malware que, hasta entonces, era desconocido. Los ataques utilizaban p\u00e1ginas web de corta duraci\u00f3n que explotaban la vulnerabilidad de d\u00eda cero CVE-2025-2783<\/a> en Google Chrome. Los atacantes enviaron correos electr\u00f3nicos a empleados de medios de comunicaci\u00f3n, instituciones gubernamentales, educativas y financieras de Rusia, y les invitaron a participar en el foro cient\u00edfico y de expertos Lecturas de Primakov. Por eso, la campa\u00f1a recibi\u00f3 el llamativo nombre de \u201cForum Troll\u201d y el grupo responsable se denomin\u00f3 ForumTroll. Al hacer clic en el enlace del correo electr\u00f3nico, el dispositivo se infectaba con el malware. El malware que utilizaron los atacantes se denomin\u00f3 LeetAgent porque recib\u00eda comandos del servidor de control en ortograf\u00eda modificada Leet<\/a>.<\/p>\n

Despu\u00e9s de la publicaci\u00f3n inicial, los expertos de GReAT continuaron investigando la actividad de ForumTroll. En particular, encontraron varios ataques m\u00e1s de parte del mismo grupo a organizaciones e individuos, tanto en Rusia como en Bielorrusia. Adem\u00e1s, mientras buscaban los ataques que utilizaron LeetAgent, descubrieron casos de muchos otros tipos de malware m\u00e1s sofisticados que se estaban aplicando.<\/p>\n

\u00bfQu\u00e9 es Dante y qu\u00e9 tiene que ver HackingTeam con \u00e9l?<\/h2>\n

El malware encontrado ten\u00eda una estructura modular, utilizaba cifrado de m\u00f3dulos con claves \u00fanicas para cada v\u00edctima y se autodestru\u00eda despu\u00e9s de cierto tiempo si no se recib\u00edan comandos desde el servidor de control. Pero lo m\u00e1s interesante de todo es que nuestros investigadores lograron identificarlo como un spyware comercial llamado Dante, que ha sido desarrollado por la empresa italiana Memento Labs (antes conocida como Hacking Team).<\/p>\n

HackingTeam fue uno de los pioneros del spyware comercial. Pero en 2015, la propia infraestructura de la empresa fue pirateada y una parte importante de su documentaci\u00f3n interna, incluido el c\u00f3digo fuente de su spyware comercial, se public\u00f3 en Internet. Despu\u00e9s de eso, la empresa se vendi\u00f3 y pas\u00f3 a llamarse Memento Labs.<\/p>\n

Puedes leer m\u00e1s acerca de lo que el malware Dante puede hacer, y c\u00f3mo nuestros expertos descubrieron que efectivamente se trataba de Dante en la publicaci\u00f3n del blog de Securelist<\/a>. Tambi\u00e9n all\u00ed podr\u00e1s encontrar los indicadores de vulneraci\u00f3n correspondientes.<\/p>\n

C\u00f3mo mantenerse seguro<\/h2>\n

Inicialmente, los ataques que utilizaban LeetAgent se detectaron con nuestra soluci\u00f3n XDR<\/a>. Adem\u00e1s, los detalles de esta investigaci\u00f3n, as\u00ed como la informaci\u00f3n sobre el grupo ForumTroll y el spyware Dante que conoceremos pr\u00f3ximamente, estar\u00e1n disponibles para los suscriptores de nuestro servicio de datos sobre amenazas APT en el Threat Intelligence Portal<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nuestros expertos han encontrado herramientas comunes que utilizan tanto el grupo ForumTroll APT como los atacantes que utilizan el malware Dante de Memento Labs.<\/p>\n","protected":false},"author":2706,"featured_media":28697,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539],"tags":[122,1261,6062],"class_list":{"0":"post-28696","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-great","11":"tag-thesas2025"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/forumtroll-dante-leetagent\/28696\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/forumtroll-dante-leetagent\/12959\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/forumtroll-dante-leetagent\/31586\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/forumtroll-dante-leetagent\/30240\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/forumtroll-dante-leetagent\/40800\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/forumtroll-dante-leetagent\/13948\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/forumtroll-dante-leetagent\/54670\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/forumtroll-dante-leetagent\/23337\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/forumtroll-dante-leetagent\/32869\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/forumtroll-dante-leetagent\/29892\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28696","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=28696"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28696\/revisions"}],"predecessor-version":[{"id":28699,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28696\/revisions\/28699"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/28697"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=28696"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=28696"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=28696"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}