O ataque inicial consistia no envio de e-mails de phishing personalizados, disfarçados de convites para o fórum Primakov Readings, visando entidades como meios de comunicação, órgãos governamentais e instituições financeiras russas.

Durante a análise, os investigadores detetaram inicialmente um spyware chamado LeetAgent, notável por usar comandos em leetspeak, uma característica atípica para malware APT. Uma investigação mais profunda revelou que o LeetAgent estava relacionado com um segundo spyware mais avançado, muitas vezes lançado por ele ou partilhando o mesmo carregador. Apesar de usar técnicas sofisticadas de ofuscação, como o VMProtect, a Kaspersky conseguiu identificar este malware como Dante.

A descoberta mais crítica foi a ligação do spyware Dante à Memento Labs, que promove um software comercial com o mesmo nome e que é a empresa sucessora da HackingTeam. Além disso, as amostras mais recentes do antigo malware Remote Control System da HackingTeam partilhavam semelhanças com o recém-descoberto Dante. Esta conexão sugere que os produtos de spyware comercial continuam a evoluir e a ser utilizados em ataques direcionados.

Boris Larin, investigador principal da Kaspersky GReAT, destacou a dificuldade em rastrear a origem destes produtos de fornecedores, dada a complexidade do código ofuscado. O Dante, por exemplo, utiliza um sistema de análise ambiental único para evitar a deteção. O grupo APT ForumTroll, rastreado desde 2022, destaca-se pelo domínio da língua russa, direcionando os seus ataques a organizações na Rússia e Bielorrússia.

Em suma, a Operação ForumTroll, inicialmente detetada pelo Kaspersky Next XDR Expert, expôs a existência do spyware Dante e a sua ligação à Memento Labs, sublinhando que, apesar do encerramento oficial da HackingTeam, a linhagem dos seus produtos e o seu uso em ciberespionagem altamente sofisticada persistem no cenário de ameaças.