Italiaanse spyware gebruikt in Rusland. De onderzoeker die het ontdekte: "Omdat er een staat achter zit."

Er is een "hoge mate van zekerheid" dat een "door de staat gerunde groep" achter het gebruik van Italiaanse spyware in Rusland zit om Google Chrome-gebruikers te hacken. Door de staat gerunde hackers dus. Dat is de overtuiging van Boris Larin, hoofd cybersecurityonderzoeker voor het wereldwijde onderzoeks- en analyseteam van Kaspersky, de Russische cybersecuritygigant die de dreiging ontdekte.

Een kwetsbaarheid in Chrome werd begin 2025 uitgebuit om organisaties en bedrijven in Rusland en Wit-Rusland aan te vallen. De aanval maakte gebruik van digitale spionagetools van Memento Labs, een Italiaans bedrijf gespecialiseerd in cyberintelligentietechnologieën, ontstaan ​​uit de as van het bekendere Hacking Team in Milaan. In een interview met Italian Tech legde de IT-expert uit dat de werkgroep die geavanceerde cyberdreigingen voor het bedrijf monitort en analyseert " onderzoek presenteerde met bewijs dat de opvolger van HackingTeam, Memento Labs, in verband brengt met een nieuwe golf van cyberspionageaanvallen."

De ontdekking van deze kwetsbaarheid in Chrome – een zero-day , wat betekent dat de kwetsbaarheid nog niet bekend is of door de leveranciers is gepatcht – stelde spyware in staat de beveiligingsbarrières van de browser te omzeilen en schadelijke code uit te voeren op de computer van het slachtoffer. De spyware heet Dante en wordt geproduceerd door Memento Labs. "We hebben de nieuwste samples van de HackingTeam Remote Control System (RCS)-spyware onderzocht en significante overeenkomsten gevonden tussen de meest recente versies van RCS en Dante in analyses uitgevoerd in 2025."

Van hackteam tot Memento Lab

RCS is een spywarekit die jaren geleden is ontwikkeld door Hacking Team en in 2015 werd ontdekt, na een grote cyberaanval op het bedrijf, waardoor de contracten en het gebruik ervan, vaak verstrekt aan overheden en regimes die bekritiseerd worden vanwege mensenrechtenschendingen, aan het licht kwamen. "Gezien de aard van de ForumTroll-campagne (de naam van de Dante-spywarehackcampagne, red.), gericht op cyberspionage, de doelstellingen ervan en de mogelijkheid om Memento Labs-software te gebruiken, kunnen we met grote zekerheid stellen dat er een door de staat gerunde groep achter ForumTroll zit", betoogt Larin. Er is echter momenteel niets bekend over de groep of voor welke staat deze werkte.

Paolo Lezzi, CEO van Memento Labs, bevestigde het gebruik van zijn spyware in de ForumTroll-campagne. "Het is duidelijk dat ze een agent gebruikten die al dood was", vertelde hij aan TechCrunch, verwijzend naar een "agent" als de technische term voor spyware die op de computer van het doelwit was geïnstalleerd. "Ik dacht dat (de klant) het niet meer gebruikte", voegde Lezzi eraan toe.

Een groep die Russisch kent, maar zelf geen Russisch is

De groep, zo wordt uitgelegd, onderscheidt zich door zijn beheersing van de Russische taal en zijn bewustzijn van lokale nuances, kenmerken die Kaspersky ook in andere campagnes met betrekking tot deze dreiging heeft waargenomen. "Soms voorkomende fouten suggereren echter dat de aanvallers geen moedertaalsprekers waren", voegt de onderzoeker eraan toe. Kaspersky is een Russische cybersecuritygigant. In het Westen is het bedrijf vaak bekritiseerd vanwege zijn te nauwe banden met het Kremlin, maar zijn onderzoek wordt over het algemeen als betrouwbaar en gezaghebbend beschouwd op cybergebied.

"Bij Kaspersky staat de veiligheid en privacy van onze gebruikers voorop", voegt de onderzoeker toe, en concludeert: "Wij geloven dat elke gebruiker recht heeft op een veilige digitale ervaring, en onze producten en diensten zijn ontworpen om dit te garanderen. We verzetten ons krachtig tegen alle vormen van cyberaanvallen en werken er hard aan om ze te identificeren en te bestrijden, ongeacht hun oorsprong of doel."