Mercen\u00e1rios digitais: A conex\u00e3o entre a Memento Labs, Zero-Days no Chrome e o Spyware Dante<\/b><\/p>\n
A not\u00edcia da Kaspersky, detalhada pelo Caveira Tech, sobre a liga\u00e7\u00e3o entre a empresa italiana de spyware<\/i> Memento Labs<\/b> e a explora\u00e7\u00e3o de uma vulnerabilidade zero-day<\/i> cr\u00edtica no Google Chrome (CVE-2025-2783<\/b>) \u00e9 mais do que um alerta de seguran\u00e7a; \u00e9 um mergulho profundo no complexo e sombrio mercado de vigil\u00e2ncia comercial. O incidente, batizado de Opera\u00e7\u00e3o ForumTroll<\/b>, n\u00e3o s\u00f3 exp\u00f5e a fragilidade dos navegadores mais usados do mundo, mas tamb\u00e9m ressuscita o fantasma da infame Hacking Team<\/b>, uma li\u00e7\u00e3o de que o conhecimento ofensivo nunca desaparece, apenas muda de roupagem corporativa. Para o analista de ciberseguran\u00e7a, este caso \u00e9 a prova de que as amea\u00e7as mais sofisticadas v\u00eam de fornecedores com know-how estatal e recursos financeiros robustos.<\/p>\n
\u00a0<\/p>\n
O legado sombrio: Da hacking Team \u00e0 Memento Labs<\/b><\/p>\n
O contexto hist\u00f3rico \u00e9 essencial. A Memento Labs foi fundada ap\u00f3s a aquisi\u00e7\u00e3o da not\u00f3ria Hacking Team<\/b> pelo grupo IntheCyber. A Hacking Team, sediada em Mil\u00e3o, ganhou notoriedade global em 2015, quando foi invadida e teve seus segredos expostos, revelando a venda de seu spyware<\/i> Remote Control System (RCS)<\/b> para regimes autorit\u00e1rios e ag\u00eancias de intelig\u00eancia, al\u00e9m do uso comercial de zero-days<\/i>. A Memento Labs \u00e9, portanto, a herdeira direta dessa expertise e desses ativos. Quatro anos ap\u00f3s sua aquisi\u00e7\u00e3o, a Memento Labs apresentou seu novo produto, o spyware<\/i> Dante<\/b>. A atribui\u00e7\u00e3o da Kaspersky, com alta confian\u00e7a, de que o malware<\/i> Dante e ferramentas relacionadas derivam ou compartilham similaridades de c\u00f3digo com o antigo RCS refor\u00e7a a continuidade desse “mercado de mercen\u00e1rios digitais”.<\/p>\n
\u00a0<\/p>\n
A Opera\u00e7\u00e3o ForumTroll: Um ataque de precis\u00e3o e engenharia social<\/b><\/p>\n
A Opera\u00e7\u00e3o ForumTroll, descoberta em mar\u00e7o de 2025, ilustra a sofistica\u00e7\u00e3o da t\u00e1tica. O ataque come\u00e7a com um spear-phishing<\/i> direcionado a organiza\u00e7\u00f5es russas \u2013 incluindo ve\u00edculos de m\u00eddia, universidades, \u00f3rg\u00e3os governamentais e institui\u00e7\u00f5es financeiras. A isca era um convite elaborado para o f\u00f3rum “Primakov Readings”, contendo um link malicioso. Este \u00e9 um exemplo de watering hole<\/i> altamente direcionado. O atacante utilizou um script<\/i> para validar o visitante, garantindo que apenas os alvos espec\u00edficos fossem infectados.<\/p>\n
A cadeia de ataque subsequente \u00e9 t\u00e9cnica e implac\u00e1vel:<\/p>\n
Explora\u00e7\u00e3o Zero-Day:<\/b> Ao abrir o link, a v\u00edtima era infectada pela explora\u00e7\u00e3o do CVE-2025-2783<\/b>, uma vulnerabilidade zero-day<\/i> do tipo sandbox escape<\/i> no Google Chrome.<\/p>\n<\/li>\n Execu\u00e7\u00e3o e persist\u00eancia:<\/b> A falha permitia a execu\u00e7\u00e3o de shellcode<\/i> no processo do navegador, instalando um loader<\/i> persistente que injetava uma DLL maliciosa.<\/p>\n<\/li>\n Implanta\u00e7\u00e3o do spyware:<\/b> A DLL decriptava o payload<\/i> principal, denominado LeetAgent<\/b>, um spyware<\/i> modular que permitia comandos, opera\u00e7\u00f5es de arquivo, keylogging<\/i> e roubo de dados.<\/p>\n<\/li>\n<\/ul>\n O uso da vulnerabilidade zero-day<\/i> no Chrome (e posteriormente no Firefox, registrado como CVE-2025-2857<\/b>) demonstra o alto custo e a capacidade t\u00e9cnica por tr\u00e1s dessas opera\u00e7\u00f5es, que exigem vastos recursos para descobrir e explorar falhas desconhecidas.<\/p>\n \u00a0<\/p>\n LeetAgent e Dante: Ferramentas modulares de espionagem<\/b><\/p>\n O spyware<\/i> LeetAgent<\/b>, rastreado em ataques desde 2022 contra alvos na R\u00fassia e Bielorr\u00fassia, destaca-se pelo uso de leetspeak<\/i> (substitui\u00e7\u00e3o de letras por n\u00fameros, ex: L33t) em seus comandos \u2013 uma marca de malware<\/i> comercial. Ele \u00e9 um spyware<\/i> modular que, em alguns casos, serviu como vetor de introdu\u00e7\u00e3o para o malware<\/i> Dante<\/b>.<\/p>\n O Dante<\/b>, o novo produto da Memento Labs, \u00e9 notavelmente projetado para ser discreto. Ele \u00e9 modular e busca seus componentes em um servidor C2 (Comando e Controle). Uma de suas caracter\u00edsticas de seguran\u00e7a \u00e9 o mecanismo de autoexclus\u00e3o<\/b>: se o malware<\/i> n\u00e3o receber comunica\u00e7\u00e3o do servidor por um determinado n\u00famero de dias, ele apaga todos os vest\u00edgios de sua atividade. Embora os pesquisadores n\u00e3o tenham conseguido recuperar todos os m\u00f3dulos para an\u00e1lise completa, essa funcionalidade sugere uma ferramenta de espionagem de alta prioridade, onde a prote\u00e7\u00e3o da pr\u00f3pria ferramenta \u00e9 crucial.<\/p>\n \u00a0<\/p>\n Conclus\u00e3o<\/b><\/p>\n A Opera\u00e7\u00e3o ForumTroll e a liga\u00e7\u00e3o com a Memento Labs \u00e9 um alerta sombrio sobre a comercializa\u00e7\u00e3o e prolifera\u00e7\u00e3o de armas cibern\u00e9ticas avan\u00e7adas. Quando zero-days<\/i> e spyware<\/i> de n\u00edvel estatal s\u00e3o vendidos como produtos comerciais, o risco de vigil\u00e2ncia e ciberespionagem atinge n\u00e3o apenas governos e ativistas, mas qualquer organiza\u00e7\u00e3o que se torne um alvo de interesse geopol\u00edtico ou econ\u00f4mico. A li\u00e7\u00e3o \u00e9 que a defesa n\u00e3o pode mais confiar apenas na corre\u00e7\u00e3o de vulnerabilidades conhecidas; ela deve investir em detec\u00e7\u00e3o de comportamento e na arquitetura de Zero Trust<\/i>, presumindo que os endpoints<\/i> e navegadores podem ser comprometidos a qualquer momento. A \u00fanica maneira de combater a sofistica\u00e7\u00e3o da Memento Labs \u00e9 com uma vigil\u00e2ncia incessante sobre o tr\u00e1fego de rede e a atividade de endpoints<\/i>.<\/p>\n \u00a0<\/p>\n Refer\u00eancias Bibliogr\u00e1ficas<\/b><\/p>\n Google Project Zero Blog.<\/b> O grupo de pesquisa de seguran\u00e7a do Google \u00e9 o principal respons\u00e1vel por descobrir e divulgar zero-days<\/i> explorados em produtos do Google e outros softwares. Acompanhar seus relat\u00f3rios \u00e9 crucial para entender o panorama de explora\u00e7\u00e3o ativa. Dispon\u00edvel em: https:\/\/googleprojectzero.blogspot.com\/<\/a><\/p>\n<\/li>\n Kaspersky Global Research and Analysis Team (GReAT) Reports.<\/b> A fonte prim\u00e1ria de intelig\u00eancia sobre a Opera\u00e7\u00e3o ForumTroll e a an\u00e1lise t\u00e9cnica dos malwares<\/i> LeetAgent e Dante. Estes relat\u00f3rios s\u00e3o essenciais para entender a profundidade e complexidade das ferramentas de espionagem. Dispon\u00edvel em: https:\/\/securelist.com\/<\/a><\/p>\n<\/li>\n Mercen\u00e1rios digitais: A conex\u00e3o entre a Memento Labs, Zero-Days no Chrome e o Spyware Dante A not\u00edcia da Kaspersky, detalhada pelo Caveira Tech, sobre a liga\u00e7\u00e3o entre a empresa italiana de spyware Memento Labs e a explora\u00e7\u00e3o de uma vulnerabilidade zero-day cr\u00edtica no Google Chrome (CVE-2025-2783) \u00e9 mais do que um alerta de seguran\u00e7a; \u00e9 […]<\/p>\n","protected":false},"author":2,"featured_media":23383,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-23379","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23379","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=23379"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23379\/revisions"}],"predecessor-version":[{"id":23386,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23379\/revisions\/23386"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/23383"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=23379"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=23379"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=23379"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n