東京, 2025年11月13日 - (JCN Newswire) - Kasperskyグローバル調査分析チーム（GReAT）は、HackingTeamの後継企業であるMemento Labsと新たなサイバースパイ攻撃のつながりを示す証拠を明らかにしました。これは、Google Chromeのゼロデイ脆弱性を悪用した高度なAPT（持続的標的型）攻撃であるOperation ForumTrollの調査過程で発見されたものです。

2025年3月に、Kaspersky GReATはOperation ForumTrollの存在を明らかにしました。Operation ForumTrollは、Chromeのゼロデイ脆弱性であるCVE-2025-2783を悪用する巧妙なサイバースパイキャンペーンです。その手口は、Primakov Readingsフォーラムへの招待を装った、しかも受信者ごとに内容が異なるフィッシングメールを送信するというもので、ロシアのメディアや政府組織、教育機関、金融機関が標的となっていました。

調査チームはForumTrollを調査する過程で、攻撃者がLeetAgentというスパイウェアを使用していたことを特定しました。LeetAgentの特異な点はコマンドがleetspeakで記述されていることです。これはAPTマルウェアでは珍しい特徴で、さらに分析すると、そのツールセットとKaspersky GReATが他の攻撃で発見したより高度なスパイウェアの間に、類似性があることがわかりました。それを特定した後に、いくつかのケースで、このスパイウェアの起源がLeetAgentであるか、両者がローダーフレームワークを共有していることが判明したため、調査チームは両者と攻撃の間に関連性があると確信しました。

もう一方のスパイウェアはVMProtect難読化などの高度な分析対策技術を採用していましたが、Kasperskyはコードから得た情報に基づき、マルウェアの名前が「Dante」であると特定しました。調査チームは、同じ名前の商用スパイウェアを、HackingTeamの後継企業・Memento Labsが宣伝していたことを発見しました。また、Kaspersky GReATが入手したHackingTeamのリモート制御システムスパイウェアの最新のサンプルには、Danteとの類似点もあります。

Kaspersky GReATでプリンシパルセキュリティリサーチャーを務めるボリス・ラリン（Boris Larin）は次のようにコメントしています。「業界においてスパイウェアベンダーの存在はよく知られていますが、その製品は特に標的型攻撃ではいまだに見つけにくく、特定が非常に困難です。Danteの起源を解明するには、高度に難読化されたコードの層を一枚ずつはがしていき、長年にわたるマルウェアの進化の過程で残された数少ない痕跡を追跡し、それを企業の系統と相関付ける必要がありました。おそらく、そのルーツを見つける過程が非常に困難であるため、Danteと呼ばれているのでしょう」

Danteには検出を回避するため、その機能を安全に実行できるかどうかを判断する前に動作環境を分析する独自の方法が組み込まれています。

調査チームはLeetAgentが初めて使用された2022年にさかのぼり、ロシアやベラルーシの組織と個人を標的にした、ForumTroll APTによる別の攻撃を発見しました。このグループの特徴は、流暢なロシア語を操り、方言の知識があることです。この特徴は、このAPT攻撃に関連する他のキャンペーンでも見られます。ただし散発的にエラーがあるため、攻撃者がネイティブスピーカーではないことがわかります。

LeetAgentを利用する攻撃を初めて検出したのはKaspersky Next XDR Expertでした。この調査の詳細、およびForumTroll APTとDanteの今後の最新情報については、Kaspersky Threat Intelligence PortalのAPTレポートサービスをご利用ください。

その他詳細と侵害の痕跡（IoC）については、Securelist.comを参照してください。

グローバル調査分析チーム（GReAT）について

2008年に設立されたグローバル調査分析チーム（GReAT）は、Kasperskyの中核をなす業務を担っており、世界各地のAPTやサイバースパイ活動、大規模マルウェア、ランサムウェア、サイバー犯罪者のアンダーグラウンド活動動向を明らかにする活動に取り組んでいます。現在、GReATには世界全体で35人以上のエキスパートが在籍し、欧州、ロシア、ラテンアメリカ、アジア、中東を拠点として活動しています。優秀なセキュリティ専門スタッフがアンチマルウェア研究とイノベーションにおいて当社のリーダーシップを発揮し、比類のない専門知識、情熱、好奇心をもってサイバー脅威の発見と分析に取り組んでいます。

KasperskyについてKasperskyは1997年に設立されたサイバーセキュリティとデジタルプライバシーを専門とするグローバル企業です。これまでに10億台以上のデバイスを新種のサイバー脅威や標的型攻撃から保護してきた、豊富な脅威インテリジェンスとセキュリティの専門知識を駆使して、カスペルスキーは世界中の個人、企業、重要インフラ、政府機関を保護する革新的なソリューションとサービスを継続的に展開しています。当社の総合的なセキュリティポートフォリオには、個人用デバイス向けの最先端のデジタルライフ保護、企業向けの専門セキュリティ製品とサービス、そして高度かつ進化し続けるデジタル脅威に対抗するサイバーイミュニティソリューションが盛り込まれています。当社は、何百万人もの個人および20万社近くの企業のお客様、が最も重要なものを保護できるよう支援しています。詳細については、www.kaspersky.com をご覧ください。

このプレスリリースは、もともと以下のリンクで英語で公開されました。
https://www.kaspersky.com/about/press-releases/kaspersky-great-spot-new-hackingteam-spyware-in-the-wild-after-years-of-silence

メディア連絡先:
Hao Yung Chung
chung.haoyung@kaspersky.com


免責事項：
本プレスリリースに含まれる情報は、発行会社から提供されたものです。JCN Newswireは、本プレスリリースに含まれるいかなる情報の正確性、完全性、または妥当性についても責任を負いません。すべての記述、意見、およびデータは、情報提供元の会社のものであり、必ずしもJCN Newswireの見解を反映するものではありません。JCN Newswireによる本プレスリリースの配信は、本プレスリリースに含まれる製品、サービス、または主張を推奨または推薦するものではありません。

リリース配信代行：
JCN 株式会社
Tel: 03-5791-1821
Email: info@japancorp.net