En mars 2025, l'équipe de recherche sur les menaces de Kaspersky avait repéré une campagne de cyberespionnage menée par le groupe de menaces persistantes avancées (APT) ForumTroll. Son fonctionnement était relativement simple : des e-mails de phishing personnalisés étaient envoyés aux utilisateurs cibles, majoritairement des médias, universités, institutions gouvernementales et financières basés en Russie.
La protection sandbox de Chrome contournée
Ces e-mails malveillants contenaient des liens d'invitation à un sommet international. Un simple clic vers ce lien, ouvert sur Google Chrome ou n'importe quel navigateur basé sur Chromium, suffisait à exécuter du code malveillant et à déclencher l'infection du système. En cause, une vulnérabilité 0-day (CVE-2025-2783) consistant en une “erreur logique à l'intersection de Chrome et du système d'exploitation Windows”, qui permettait aux acteurs malveillants de contourner les mécanismes de protection sandbox du navigateur.
Bien que Google ait depuis corrigé la faille, Kaspersky a remonté la chaîne d'attaque pour en savoir plus sur le malware déployé. La société de cybersécurité a ainsi déterminé que les hackers utilisaient un logiciel espion nommé LeetAgent, aux commandes écrites en langage leetspeak, capable d'exécuter des commandes, d'enregistrer les frappes (keylogger) et de voler des fichiers aux extensions .doc, .xls, .pdf et .ppt.
HackingTeam, une société bien connue dans le paysage des spywares
LeetAgent présente des similitudes dans ses outils et le même framework de chargement qu'un autre logiciel espion étudié par Kaspersky. “Bien que l'autre logiciel espion ait utilisé des techniques anti-analyse avancées, dont l'obfuscation VMProtect, Kaspersky a extrait le nom du malware du code et l'a identifié comme étant 'Dante', expliquent les chercheurs dans un rapport publié le 27 octobre. Les chercheurs ont découvert qu'un logiciel espion commercial du même nom était commercialisé par Memento Labs, successeur de HackingTeam.”
La société italienne de logiciels espions HackingTeam a fait parler d'elle en 2015 lorsqu'elle a été piratée, exposant plus de 400 gigaoctets de données. Les documents montraient notamment que l'entreprise avait été en contact avec plusieurs ministères français et qu'elle aurait établi des partenariats avec plusieurs gouvernements autoritaires et/ou répressifs (Arabie Saoudite, Maroc et Soudan en particulier). Son logiciel de surveillance d'alors permettait entre autres aux gouvernements de surveiller les communications des utilisateurs, déchiffrer des e-mails chiffrés et d'enregistrer des sessions Skype.
ForumTroll a aussi visé des particuliers en Russie et en Biélorussie
HackingTeam a été rachetée en 2019 par InTheCyber Group, une société basée à Lugano (Suisse), avant de se renommer Memento Labs. “Lors de la conférence ISS World MEA 2023 destinée aux forces de l'ordre et aux agences de renseignement gouvernementales, Memento Labs a révélé le nom de son nouvel outil de surveillance : Dante”, poursuit Kaspersky. L'entreprise ajoute que le logiciel espion comprend des fonctionnalités d'analyse de son environnement avant exécution, afin d'éviter toute détection.
Peu d'informations sont pour l'heure disponibles sur ForumTroll, le groupe derrière les attaques exploitant la vulnérabilité Chrome. “La maîtrise du russe et la connaissance des spécificités locales sont des traits distinctifs du groupe, note Kaspersky. Cependant, des erreurs suggèrent que les attaquants n'étaient pas de langue maternelle russe.” En dehors de cette campagne, l'équipe de recherche sur les menaces a observé plusieurs attaques de ForumTroll ciblant à la fois des entreprises et des particuliers en Russie et en Biélorussie.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
