Spyware italiano usato in Russia. Il ricercatore che l’ha scoperto: “Perché dietro c’è uno Stato”

C’è una “elevata certezza” dietro l’uso dello spyware italiano in Russia per violare chi usa Google Chrome ci sia la mano di un “gruppo statale”. Hacker di Stato, quindi. Ne è convinto Boris Larin, ricercatore capo in sicurezza informatica del global research and analysis team di Kaspersky, il colosso russo della cybersecurity che ha rilevato la minaccia.

Una vulnerabilità scoperta in Chrome, sfruttata nei primi mesi del 2025 per colpire organizzazioni e aziende in Russia e Bielorussia. Un attacco che ha utilizzato strumenti di spionaggio digitale creati da Memento Labs, società italiana specializzata in tecnologie di cyber intelligence, nata dalle ceneri della più nota Hacking Team di Milano. A colloquio con Italian Tech, l’esperto informatico racconta che il gruppo di lavoro che per la società monitora e analizza le minacce informatiche avanzate “ha presentato una ricerca con prove che collegano il successore di HackingTeam, Memento Labs, a una nuova ondata di attacchi di spionaggio informatico”.

La scoperta di questa vulnerabilità di Chrome - uno zero-day, ovvero una vulnerabilità non ancora nota né corretta dai produttori - permetteva a uno spyware quindi di superare le barriere di sicurezza del browser e di eseguire codice dannoso nel computer della vittima. Lo spyware è chiamato Dante ed è prodotto da Memento Labs. “Abbiamo esaminato gli ultimi campioni dello spyware HackingTeam Remote Control System (Rcs) e abbiamo riscontrato significative somiglianze tra le versioni più recenti di Rcs e Dante nelle analisi condotte nel 2025”.

Da Hacking Team a Memento Lab

Rcs è un kit di spyware sviluppato anni fa da Hacking Team e scoperto nel 2015, scoperto dopo una grave violazione informatica subita dalla società che ne rivelò contratti e utilizzo, spesso dati a governi e regimi criticati per violazioni dei diritti umani. “Considerando la natura della campagna ForumTroll (il nome della campagna di hackeraggi tramite lo spyware Dante, ndr) incentrata sullo spionaggio informatico, i suoi obiettivi e la sua capacità di utilizzare il software Memento Labs, possiamo affermare con elevata certezza che dietro ForumTroll ci sia un gruppo statale”, ragiona Larin. Anche se al momento non si sa nulla del gruppo né per quale Stato lavorasse.

Paolo Lezzi, ceo di Memento Labs, ha confermato l’uso del suo spyware nella campagna ForumTroll. È chiaro che hanno utilizzato un agente che era già morto", ha dichiarato a TechCrunch, riferendosi a un "agente" come termine tecnico per indicare lo spyware installato sul computer del bersaglio. "Pensavo che (il cliente) non lo utilizzasse più", ha aggiunto Lezzi.

Un gruppo che conosce il russo, ma russo non è

ll gruppo - viene spiegato - si distinguerebbe per la sua padronanza della lingua russa e la conoscenza delle sfumature locali, caratteristiche che Kaspersky ha osservato in altre campagne collegate a questa minaccia. “Tuttavia, alcuni errori occasionali suggeriscono che gli autori degli attacchi non fossero madrelingua”, aggiunge il ricercatore. Kaspersky è un colosso russo della sicurezza informatica. Spesso in Occidente è stata criticata di troppa vicinanza al Cremlino, ma le sue ricerche sono ritenute generalmente attendibili e autorevoli in campo informatico.

“Noi di Kaspersky abbiamo come obiettivo principale la sicurezza e la privacy dei nostri utenti”, aggiunge il ricercatore, che conclude: “Crediamo che ogni utente abbia diritto a un’esperienza digitale sicura e i nostri prodotti e servizi sono progettati proprio per garantire questo. Ci opponiamo con fermezza a tutte le forme di attacchi informatici e lavoriamo con impegno per individuarli e contrastarli, indipendentemente dalla loro origine o finalità”.