Глава итальянской компании Memento Labs (бывшая Hacking Team) Паоло Лецци (Paolo Lezzi) подтвердил СМИ, что шпионское ПО Dante, недавно обнаруженное специалистами «Лаборатории Касперского» в реальных атаках, действительно принадлежит его компании. При этом Лецци обвинил одного из государственных клиентов в раскрытии спайвари, заявив, что тот использовал устаревшую версию.
Hacking Team — один из старейших производителей шпионского ПО, основанный в 2003 году. Флагманским продуктом компании была спайварь Remote Control Systems (RCS), которой пользовались государственные органы по всему миру.
Широкую известность Hacking Team получила в 2015 году после взлома, в результате которого в сеть попали более 400 ГБ данных, включая исходный код спайвари. Утечка раскрыла продажи софта странам, в которых фиксируются нарушения прав человека, а также таргетированные атаки на журналистов и диссидентов.
В 2019 году Hacking Team была приобретена компанией InTheCyber Group, после чего ее переименовали в Memento Labs.
Напомним, что недавно эксперты «Лаборатории Касперского» сообщили о первом известном применении в реальных атаках шпионского ПО Dante, созданного Memento Labs. Отследить активность малвари удалось благодаря анализу операции «Форумный тролль», нацеленной на сотрудников российских организаций.
В марте 2025 года исследователи обнаружили сложную целевую кампанию, получившую название операция «Форумный тролль», в рамках которой злоумышленники рассылали персонализированные фишинговые письма сотрудникам СМИ, государственных, образовательных и финансовых учреждений в России с предложением поучаствовать в форуме «Примаковские чтения». При этом использовалась цепочка эксплоитов и уязвимость нулевого дня в браузере Chrome (CVE-2025-2783).
Изучая арсенал атакующих, эксперты нашли ранее неизвестный вредонос Dante и идентифицировали как коммерческую спайварь Memento Labs, о которой компания еще в 2023 году заявляла на конференции для правоохранительных органов ISS World MEA.
Как теперь сообщил изданию TechCrunch глава Memento Labs, Паоло Лецци, спайварь Dante действительно является разработкой его компании. Однако Лецци неуверен, кого именно из клиентов «поймали» исследователи. По его словам, клиент использовал устаревшую версию шпионского ПО для Windows, поддержка которой прекратится к концу этого года.
«Очевидно, они использовали агента, который уже был “мертв”. Я считал, что [правительственные клиенты] вообще больше его не используют», — заявил руководитель Memento Labs.
Также Лецци добавил, что компания уже попросила всех клиентов прекратить использование Windows-малвари еще в декабре 2024 года, когда «Лаборатория Касперского» впервые обнаружила заражения Dante. Теперь Memento Labs планирует отправить клиентам повторное уведомление с просьбой окончательно отказаться от этой версии шпионского ПО.
В беседе с журналистами Лецци признал, что некоторые «аспекты и поведение» Windows-спайвари Dante могли быть заимствованы из софта Hacking Team. При этом он сообщил, что от прошлой команды Hacking Team в Memento Labs осталось всего два сотрудника, и отказался назвать точное количество текущих клиентов компании (однако дал понять, что их меньше 100).
По словам Лецци, в настоящее время его компания разрабатывает исключительно шпионское ПО для мобильных платформ. Также Memento Labs интересуется уязвимостями нулевого дня для доставки спайвари, хотя в основном получает эксплоиты от сторонних разработчиков. При этом Лецци подчеркнул, что 0-day уязвимость в Chrome, использовавшаяся в операции «Форумный тролль», не была разработана его компанией.
В «Лаборатории Касперского» не стали связывать атаки Dante с конкретными странами или хак-группами. Однако исследователи отметили, что злоумышленники демонстрировали хорошее владение русским языком и знанием местных особенностей, хотя некоторые ошибки указывали на то, что атакующие не были носителями языка.
