Первый подтверждённый случай использования коммерческого шпионского ПО

27 октября 2025 года на конференции Security Analyst Summit в Таиланде эксперты команды Kaspersky GReAT заявили о первом подтверждённом случае использования коммерческого шпионского ПО, созданного итальянской компанией Memento Labs (ранее известной как HackingTeam), в реальных кибератаках.

Речь идёт о вредоносной платформе Dante, представленной компанией в 2019 году, но до настоящего момента ни разу не встречавшейся в операциях против живых целей. Специалисты связали появление этого инструмента с операцией «Форумный тролль» — тщательно спланированной атакой, направленной против сотрудников СМИ, государственных учреждений, научных и финансовых организаций на территории России.

Компания Memento Labs продолжает наследие HackingTeam — одного из старейших производителей шпионского ПО, основанного в 2003 году. В течение многих лет компания занималась созданием решений для скрытого наблюдения и продажи этих инструментов государственным структурам. Самым известным продуктом стала система удалённого контроля RCS, применявшаяся по всему миру. В 2015 году HackingTeam подверглась масштабному взлому, в результате которого в открытый доступ попали 400 ГБ внутренней документации. После этого бренд был продан InTheCyber Group и получил новое имя — Memento Labs.

Новая атака, в которой впервые зафиксировано использование Dante, была обнаружена в марте 2025 года. Злоумышленники использовали фишинговую рассылку, маскируя письма под приглашения на экспертный форум «Примаковские чтения». Целью были сотрудники российских компаний и ведомств. Достаточно было открыть ссылку в браузере Chrome — устройство заражалось без каких-либо дополнительных действий со стороны пользователя. Атака использовала уязвимость нулевого дня, что указывает на высокий уровень подготовки её организаторов.