Volgens een maandag gepubliceerd rapport van Kaspersky werd de spyware, met de naam Dante, gebruikt om Windows-computers in Rusland en Wit-Rusland te bespioneren. De malware werd herleid tot Memento Labs, waarvan CEO Paolo Lezzi bevestigde dat de spyware van het bedrijf afkomstig is.
Lezzi gaf aan dat het lek werd veroorzaakt door een overheidsklant van Memento, die naar verluidt een verouderde versie van de spyware heeft ingezet — een versie die binnenkort volledig wordt uitgefaseerd. “Ze hebben duidelijk een agent gebruikt die al dood was,” zei Lezzi tegen TechCrunch, en voegde eraan toe dat Memento klanten al eerder had gewaarschuwd om te stoppen met het gebruik van de Windows-malware nadat Kaspersky vorig jaar besmettingen ontdekte.
Memento Labs, gevestigd in Milaan, richt zich momenteel vooral op mobiele spyware en haalt veel van zijn hacktools en exploits bij externe ontwikkelaars vandaan. Het bedrijf liet weten deze week opnieuw klanten te zullen waarschuwen om te stoppen met het gebruik van de Windows-versie van de spyware.
Volgens Kaspersky’s rapport zit een groep genaamd ForumTroll achter de recente campagne. Deze groep zou slachtoffers hebben geïnfecteerd via phishing-uitnodigingen voor politieke en economische evenementen in Rusland. De doelwitten bestonden uit mediabedrijven, universiteiten en overheidsinstanties.
Hoewel Kaspersky niet noemt welke overheid verantwoordelijk is voor de operatie, stelt het rapport dat de aanvallers een sterke beheersing van de Russische taal en context toonden – zij het met af en toe niet-moedertaalfouten – wat zou kunnen wijzen op buitenlandse betrokkenheid.
De Dante-spyware wordt beschouwd als opvolger van Hacking Team’s eerdere Remote Control System, dat voor 2015 aan tientallen overheden werd verkocht. Na de grote hack op Hacking Team in dat jaar kwamen contracten aan het licht waaruit bleek dat het bedrijf spyware leverde aan landen die ervan werden beschuldigd journalisten en dissidenten te bespioneren, waaronder Ethiopië, Marokko en de Verenigde Arabische Emiraten.
De vorige grote spionageschandaal rond overheden die malware inzetten tegen politieke oppositie, activisten en journalisten, draaide om Pegasus, de spyware van de Israëlische NSO Group. Dat bedrijf werd onlangs overgenomen door Amerikaanse investeerders, terwijl er nog steeds rechtszaken lopen rond het gebruik ervan.
