كاسبرسكي تكشف صلة بين “ميمينتو لابز” وهجمات تجسس إلكتروني متقدمة

كشفت شركة كاسبرسكي، من خلال فريقها العالمي للبحث والتحليل (GReAT)، عن صلة مباشرة بين شركة “ميمينتو لابز” وهجمات تجسس إلكتروني متطورة، في اكتشاف يعكس تعقيد التهديدات السيبرانية الحديثة. وأعلن عن هذه النتائج خلال قمة محللي الأمن السيبراني 2025 في تايلاند، بعد تحقيق شامل حول عملية تعرف باسم ForumTroll، وهي حملة تهديدات متقدمة مستمرة (APT) استغلت ثغرة أمنية غير معروفة سابقا في متصفح Google Chrome.

في مارس 2025، حدد باحثو GReAT معالم حملة ForumTroll، التي استهدفت وسائل إعلام روسية، مؤسسات تعليمية وهيئات مالية، وعددا من الجهات الحكومية، من خلال رسائل تصيد احتيالي على شكل دعوات لحضور منتدى Primakov Readings، مستغلة ثغرة Chrome الخطيرة المسجلة برقم CVE-2025-2783.

أثناء التحليل الفني، اكتشف الفريق استخدام برنامج تجسس باسم LeetAgent، الذي يعتمد على أسلوب “ليت سبيك” (leet speak) في أوامره البرمجية، وهو أسلوب نادر في برمجيات التجسس المتقدمة. وأظهرت الدراسة وجود تقاطع تقني بين LeetAgent وبرنامج Dante، وهو برنامج تجسس تجاري تطوره شركة Memento Labs، الوريث الجديد لشركة HackingTeam، مما أكد العلاقة المباشرة بين الأدوات المستخدمة في الهجمات والمصدر التجاري لها.

وأكد بوريس لارين، كبير الباحثين في فريق GReAT، أن الوصول إلى أصل برنامج Dante تطلب تفكيك طبقات متعددة من الشيفرة المعقدة وتتبع مؤشرات تقنية دقيقة على مدى سنوات، مضيفا: “ربما لهذا السبب تم اختيار اسم Dante، إذ إن تتبّع أصوله أشبه بجحيم حقيقي”.

ويتميز برنامج Dante بأسلوب فريد للتمويه، حيث يقوم بتحليل بيئة النظام المستهدف قبل تنفيذ نفسه بشكل خفي، في محاولة لتفادي أنظمة الكشف والتحليل الأمني. وأظهرت التحقيقات أن أول ظهور لبرنامج LeetAgent كان في عام 2022، مع هجمات لاحقة منسوبة إلى مجموعة ForumTroll استهدفت روسيا وبيلاروسيا، مستخدمة لغة روسية دقيقة مع بعض الأخطاء الطفيفة التي تشير إلى أن منفذي الهجمات ليسوا ناطقين أصليين بها.

وقد ساهمت منصة Kaspersky Next XDR Expert في اكتشاف الهجوم الأول، فيما يمكن للعملاء المشتركين في خدمة تقارير التهديدات المتقدمة الاطلاع على التحليل الكامل وتحديثات مستقبلية عبر بوابة Kaspersky Threat Intelligence.