Serangan siber menggunakan spyware Dante kembali muncul dalam gelombang baru yang ditemukan oleh tim riset global Kaspersky. Temuan ini mengungkap keterlibatan kelompok Advanced Persistent Threat (APT) yang dikenal dengan nama Memento Labs, sebelumnya dikenal sebagai HackingTeam, dalam kampanye spionase siber yang menargetkan organisasi di berbagai sektor.
Investigasi Terhadap Operasi ForumTroll
Pada Maret 2025, Kaspersky GReAT (Global Research and Analysis Team) mengungkap keberadaan serangan Operasi ForumTroll yang memanfaatkan kerentanan zero-day pada Google Chrome, dengan kode CVE-2025-2783. Kelompok APT ini menggunakan serangan phishing yang sangat terpersonalisasi, dengan modus penyamaran sebagai undangan menghadiri forum Primakov Readings. Serangan ini menyasar berbagai target, mulai dari media Rusia, institusi pendidikan, sektor keuangan, hingga lembaga pemerintah.
Spyware LeetAgent dan Kaitan dengan Dante
Dalam penyelidikan tersebut, Kaspersky menemukan spyware bernama LeetAgent yang memiliki teknik unik, yakni penggunaan perintah yang ditulis dalam "leetspeak" – gaya penulisan yang jarang dijumpai dalam malware APT. Lebih lanjut, ditemukan hubungan kode antara LeetAgent dan spyware yang lebih kompleks, yang kemudian diidentifikasi sebagai Dante.
Spyware Dante menggunakan teknik anti-analisis yang canggih, termasuk obfuscation dengan menggunakan VMProtect, membuatnya sulit dideteksi dan dianalisis. Namun, Kaspersky mampu mengungkap bahwa Dante dikembangkan oleh Memento Labs, yang juga memasarkan spyware komersial dengan nama yang sama. Hal ini diperkuat dengan adanya kesamaan antara Dante dengan spyware Sistem Kontrol Jarak Jauh HackingTeam yang ditemukan sebelumnya.
Taktik dan Kemampuan Dante dalam Menyusup
Boris Larin, kepala peneliti keamanan di Kaspersky GReAT, menyatakan bahwa memahami asal-usul dan operasional spyware seperti Dante merupakan tugas yang kompleks. "Mengungkap asal-usul Dante menuntut pengupasan lapisan kode yang sangat tersembunyi dan melacak sidik jari langka dalam evolusi malware selama bertahun-tahun," ujarnya.
Dante juga memiliki metode deteksi lingkungan yang unik untuk menentukan kondisi aman sebelum melancarkan serangannya. Ini menjadikan spyware tersebut sangat tangguh dalam menghindari deteksi alat keamanan siber. Penggunaan LeetAgent telah terpantau sejak tahun 2022 dan terus berlanjut dalam serangan yang merupakan bagian dari kampanye ForumTroll.
Target dan Bahasa yang Digunakan Kelompok APT
Analisis bahasa dan pola serangan mengungkap bahwa kelompok yang menggunakan spyware ini menguasai bahasa Rusia dengan sangat baik, serta memahami detail dan nuansa lokal di wilayah target mereka, seperti Rusia dan Belarus. Meski demikian, beberapa kesalahan bahasa menunjukkan bahwa pelaku bukan penutur asli, menandakan kemungkinan adanya pelaku asing yang berusaha menyamarkan identitasnya.
Deteksi dan Pemantauan oleh Kaspersky
Serangan yang melibatkan LeetAgent pertama kali terdeteksi oleh solusi Kaspersky Next XDR Expert. Penelitian lanjutan dan informasi mendalam mengenai kampanye ForumTroll serta spyware Dante dapat diakses oleh pelanggan melalui Kaspersky Threat Intelligence Portal, memberikan wawasan penting bagi organisasi yang ingin meningkatkan pertahanan siber mereka.
Dampak dan Implikasi dari Gelombang Baru Spyware Dante
Kemunculan gelombang baru spyware Dante ini menunjukkan bahwa serangan siber yang menggunakan perangkat lunak pengintai yang canggih tidak hanya terus berevolusi, tetapi juga melibatkan aktor dengan kemampuan teknis tinggi dan strategi yang matang. Organisasi yang menjadi target harus meningkatkan kewaspadaan dan menerapkan langkah-langkah keamanan yang terintegrasi guna memitigasi ancaman yang berasal dari kelompok APT.
Sebagai informasi tambahan, pengguna teknologi dan pengelola keamanan siber disarankan untuk selalu memperbarui perangkat lunak dan waspada terhadap email phishing yang sangat terpersonalisasi. Dukungan dari penyedia solusi keamanan seperti Kaspersky menjadi salah satu kunci dalam menghadapi ancaman siber yang terus berkembang ini.
Source: www.medcom.id
