“Dante” สปายแวร์ใหม่จาก HackingTeam พลิกโฉมการจารกรรมไซเบอร์

ทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ (Kaspersky Global Research and Analysis Team – GReAT) ได้ค้นพบหลักฐานชิ้นใหม่ที่เชื่อมโยงโครงการต่อยอดของ HackingTeam ซึ่งปัจจุบันคือ Memento Labs กับปฏิบัติการจารกรรมทางไซเบอร์ครั้งใหญ่ โดยเฉพาะอย่างยิ่งการใช้สปายแวร์ที่ชื่อว่า “Dante” โดยการค้นพบนี้นำเสนออย่างเป็นทางการในงาน Security Analyst Summit 2025 (SAS 2025) ที่ประเทศไทย

นักวิจัยของ Kaspersky GReAT ตรวจพบความเชื่อมโยงดังกล่าวในระหว่างการสืบสวน Operation ForumTroll ซึ่งเป็นแคมเปญภัยคุกคามแบบต่อเนื่องขั้นสูง (Advanced Persistent Threat – APT) ที่ซับซ้อน โดยใช้ประโยชน์จากช่องโหว่ Zero-Day ใน Google Chrome รหัส CVE-2025-2783 แคมเปญนี้ได้ส่งอีเมลฟิชชิงส่วนตัวที่ปลอมเป็นคำเชิญเข้าร่วมฟอรัม Primakov Readings เพื่อมุ่งเป้าโจมตีสื่อรัสเซีย สถาบันการศึกษา และหน่วยงานรัฐบาล เมื่อเดือนมีนาคม 2025

LeetAgent สู่ Dante: ร่องรอยที่เชื่อมโยง HackingTeam

ในระหว่างการตรวจสอบปฏิบัติการ ForumTroll นักวิจัยได้พบมัลแวร์ LeetAgent ซึ่งเป็นสปายแวร์ที่ใช้คำสั่งที่เขียนด้วยภาษา leetspeak ซึ่งเป็นลักษณะที่โดดเด่นและหาได้ยากในมัลแวร์ APT จากการวิเคราะห์เพิ่มเติมพบว่า LeetAgent มีความคล้ายคลึงกับสปายแวร์ที่ก้าวหน้ากว่าตัวหนึ่งที่ถูกตรวจพบในการโจมตีอื่น ๆ และเมื่อยืนยันว่าสปายแวร์ทั้งสองมีการเรียกใช้งานร่วมกันหรือใช้เฟรมเวิร์กโหลดเดอร์เดียวกัน นักวิจัยจึงสามารถยืนยันความเชื่อมโยงระหว่างการโจมตีทั้งสองครั้ง

แม้ว่าสปายแวร์ตัวอื่น ๆ จะพยายามหลีกเลี่ยงการวิเคราะห์ด้วยเทคนิคซ่อนเร้นขั้นสูง เช่น การปลอมแปลง VMProtect แต่ Kaspersky ก็สามารถดึงชื่อมัลแวร์จากโค้ดได้สำเร็จ และระบุว่ามันคือ “Dante” ซึ่งเป็นสปายแวร์เชิงพาณิชย์ที่มีชื่อเดียวกัน และได้รับการสนับสนุนโดย Memento Labs ซึ่งเป็นบริษัทที่เปลี่ยนชื่อมาจาก HackingTeam นอกจากนี้ ตัวอย่างล่าสุดของ Remote Control System (RCS) สปายแวร์หลักของ HackingTeam ที่ทีม GReAT เคยได้รับมาก็มีความคล้ายคลึงกับ Dante อย่างมีนัยสำคัญ

ความท้าทายในการเปิดโปงและการมุ่งเป้าโจมตี

บอริส ลาริน หัวหน้านักวิจัยด้านความปลอดภัย ทีม Kaspersky GReAT กล่าวว่า การเปิดเผยต้นกำเนิดของ Dante ต้องผ่านการถอดรหัสโค้ดที่ซับซ้อนหลายชั้น และการสืบหาเส้นทางของมัลแวร์หายากตลอดช่วงวิวัฒนาการหลายปี เพื่อเชื่อมโยงมันเข้ากับองค์กรผู้ผลิต ซึ่งเป็นกระบวนการที่ยากยิ่งดุจการค้นหาสิ่งที่หายาก ตามความหมายของชื่อ Dante

ทีมวิจัยได้สืบค้นการใช้งาน LeetAgent ย้อนกลับไปถึงปี 2022 และพบการโจมตีเพิ่มเติมโดย APT ForumTroll ที่มุ่งเป้าไปที่องค์กรและบุคคลในประเทศรัสเซียและเบลารุส กลุ่ม APT นี้มีความโดดเด่นในการใช้ภาษารัสเซียได้อย่างคล่องแคล่วและมีความรู้ในความแตกต่างเฉพาะถิ่น แม้ว่าจะมีข้อผิดพลาดบางครั้งที่บ่งชี้ว่าผู้โจมตีอาจไม่ใช่เจ้าของภาษาโดยแท้ การตรวจพบการโจมตีด้วย LeetAgent นั้นเป็นผลมาจากการทำงานของโซลูชัน Kaspersky Next XDR Expert เป็นหลัก

–“วาระแห่งโลก”: ดีอี-ตำรวจ ประกาศสงคราม “สแกมเมอร์” ชี้ อาชญากรรมไซเบอร์ภัยคุกคามข้ามชาติ

• Facebook
• X
• Line