Итальянское шпионское ПО, используемое в России. Исследователь, обнаруживший его: «Потому что за ним стоит государство».

Существует «высокая степень уверенности», что за использованием итальянского шпионского ПО в России для взлома пользователей Google Chrome стоит «государственная группа». Значит, это государственные хакеры. Так считает Борис Ларин, ведущий специалист по кибербезопасности в глобальной исследовательской и аналитической группе «Лаборатории Касперского», российского гиганта в области кибербезопасности, который обнаружил эту угрозу.

Уязвимость, обнаруженная в Chrome, была использована в начале 2025 года для атак на организации и компании в России и Беларуси. В атаке использовались инструменты цифрового шпионажа, разработанные Memento Labs — итальянской компанией, специализирующейся на технологиях киберразведки и возникшей на руинах более известной миланской Hacking Team. В интервью Italian Tech IT-эксперт пояснил, что рабочая группа, которая отслеживает и анализирует сложные киберугрозы для компании , « представила исследование с доказательствами, связывающими преемницу HackingTeam, Memento Labs, с новой волной кибершпионажа».

Обнаружение этой уязвимости Chrome — уязвимости нулевого дня , то есть уязвимости, ещё не известной и не исправленной производителями, — позволило шпионскому ПО обойти защитные барьеры браузера и выполнить вредоносный код на компьютере жертвы. Шпионское ПО называется Dante и разработано Memento Labs. «Мы изучили последние образцы шпионского ПО HackingTeam Remote Control System (RCS) и обнаружили значительное сходство между последними версиями RCS и Dante в ходе анализа, проведённого в 2025 году».

От команды хакеров до лаборатории Memento

RCS — это шпионский набор, разработанный компанией Hacking Team много лет назад и обнаруженный в 2015 году после серьёзной кибератаки, которая раскрыла её контракты и использование. RCS часто предоставлялся правительствам и режимам, критикуемым за нарушения прав человека. «Учитывая характер кампании ForumTroll (название хакерской кампании Dante, прим. ред.), сосредоточенной на кибершпионаже, её цели и способность использовать программное обеспечение Memento Labs, мы можем с высокой уверенностью утверждать, что за ForumTroll стоит государственная группа», — утверждает Ларин. Однако в настоящее время ничего не известно ни об этой группе, ни о том, на какое государство она работала.

Паоло Лецци, генеральный директор Memento Labs, подтвердил использование своего шпионского ПО в кампании ForumTroll. «Очевидно, что они использовали агента, который уже был мёртв», — сказал он TechCrunch, имея в виду «агент» как технический термин для шпионского ПО, установленного на компьютере жертвы. «Я думал, (клиент) больше им не пользуется», — добавил Лецци.

Группа, которая знает русский язык, но не является русской

Группа, как поясняется, выделяется своим знанием русского языка и пониманием местных особенностей, что «Лаборатория Касперского» наблюдала и в других кампаниях, связанных с этой угрозой. «Однако отдельные ошибки указывают на то, что злоумышленники не были носителями языка», — добавляет исследователь. «Лаборатория Касперского» — российский гигант в сфере кибербезопасности. На Западе её часто критиковали за чрезмерную близость к Кремлю, но её исследования в целом считаются надёжными и авторитетными в киберпространстве.

«В «Лаборатории Касперского» наша главная цель — безопасность и конфиденциальность пользователей», — добавляет исследователь, подытоживая: «Мы считаем, что каждый пользователь имеет право на безопасное использование цифровых технологий, и наши продукты и сервисы разработаны для обеспечения этого. Мы решительно выступаем против всех форм кибератак и активно работаем над их выявлением и противодействием, независимо от их происхождения и цели».