Phần mềm gián điệp mới tái xuất sau nhiều năm im ắng

Phần mềm gián điệp LeetAgent tái xuất nổi bật với các lệnh điều khiển được viết bằng “leetspeak” là một tính năng hiếm gặp trong phần mềm độc hại dạng APT.

Nhóm Nghiên cứu và Phân tích toàn cầu của Kaspersky (GReAT) vừa phát hiện bằng chứng cho thấy, Memento Labs, công ty kế nhiệm HackingTeam có liên quan tới làn sóng tấn công gián điệp mạng (cyber espionage) mới.

Phát hiện này được đưa ra sau cuộc điều tra về Chiến dịch ForumTroll - một chiến dịch tấn công có chủ đích (APT - Advanced Persistent Threat) lợi dụng lỗ hổng zero-day trong trình duyệt Google Chrome.

Kết quả nghiên cứu được Kaspersky công bố tại Hội nghị Thượng đỉnh phân tích bảo mật Security Analyst Summit 2025 vừa được tổ chức tại Thái Lan.

Vào tháng 3/2025, Kaspersky GReAT đã đăng thông tin vạch trần ForumTroll - một chiến dịch gián điệp mạng tinh vi khai thác lỗ hổng zero-day CVE-2025-2783 trong Chrome.

Nhóm APT đứng sau chiến dịch này đã gửi email lừa đảo (phishing) được cá nhân hóa, giả mạo thư mời tham dự Diễn đàn Primakov Readings, nhắm đến các cơ quan truyền thông, các tổ chức Chính phủ, giáo dục và tài chính tại Nga.

Trong quá trình điều tra chiến dịch ForumTroll, các nhà nghiên cứu đã phát hiện phần mềm gián điệp LeetAgent. Phần mềm này nổi bật với các lệnh điều khiển được viết bằng “leetspeak” - một tính năng hiếm gặp trong phần mềm độc hại dạng APT.

Phân tích sâu hơn cho thấy những điểm tương đồng giữa bộ công cụ của LeetAgent và một phần mềm gián điệp tinh vi hơn, từng được Kaspersky GReAT phát hiện trong các cuộc tấn công khác.

Từ quá trình quan sát, phân tích một số trường hợp, các chuyên gia xác định được LeetAgent là công cụ khởi chạy phần mềm gián điệp tinh vi kia, hoặc cả hai cùng sử dụng chung một loader framework - bộ khung nạp mà tin tặc dùng để tải, kích hoạt hoặc triển khai các thành phần mã độc khác vào hệ thống của nạn nhân. Nhờ đó, các chuyên gia đã xác nhận mối liên hệ giữa hai loại mã độc cũng như sự liên quan giữa các cuộc tấn công.

Phần mềm gián điệp còn lại che giấu mã độc bằng cách sử dụng các kỹ thuật chống phân tích tiên tiến, bao gồm công nghệ làm rối mã (obfuscation) VMProtect. Mặc dù vậy, các chuyên gia từ Kaspersky vẫn trích xuất được tên của mã độc này từ mã nguồn là Dante.

Các nhà nghiên cứu đã xác định rằng, Dante là tên của một phần mềm gián điệp thương mại được phát triển và quảng bá bởi Memento Labs, công ty kế nhiệm và đổi tên thương hiệu từ HackingTeam. Thêm vào đó, các mẫu mới nhất của Remote Control System (RCS) - phần mềm gián điệp của HackingTeam mà Kaspersky thu thập được, cũng cho thấy sự tương đồng rõ rệt với Dante.

Ông Boris Larin, Trưởng nhóm Nghiên cứu Bảo mật tại Kaspersky GReAT chia sẻ: Để tìm ra nguồn gốc của Dante, chúng tôi phải bóc tách từng lớp mã độc đã được làm rối mã (heavily obfuscated code), lần theo một vài dấu vết hiếm hoi trong suốt hàng năm trời phát triển của phần mềm độc hại đó, liên kết đối chiếu để tìm ra nguồn gốc.

Có lẽ đó là lý do vì sao tin tặc đặt tên phần mềm gián điệp này là Dante, bởi bất cứ ai muốn tìm ra nguồn gốc của Dante, sẽ phải trải qua hành trình vật vã như thể rơi xuống địa ngục.

Dante là tên một nhà thơ Ý, nổi tiếng với tác phẩm Thần Khúc, trong đó phần đầu tác phẩm mô tả chi tiết hình ảnh "Địa ngục”.

Để tránh bị phát hiện, Dante được thiết kế với cơ chế tự phân tích môi trường xung quanh trước khi quyết định liệu Dante có thể thực hiện các tính năng của mình một cách an toàn hay không.

Các nhà nghiên cứu lần theo dấu vết và phát hiện LeetAgent đã xuất hiện từ năm 2022. Cuộc tấn công sử dụng LeetAgent được phát hiện đầu tiên nhờ Kaspersky Next XDR Expert.

Phần mềm gián điệp này được sử dụng trong nhiều cuộc tấn công khác nhau của APT ForumTroll, nhắm vào các tổ chức và cá nhân tại Nga và Belarus. Nhóm tin tặc này nổi tiếng với khả năng sử dụng tiếng Nga thành thạo và hiểu biết sâu về bối cảnh địa phương. Tuy nhiên, một số lỗi nhỏ trong ngôn ngữ cho thấy những kẻ tấn công không phải người bản địa./.