SAS 2025: Kaspersky Ungkap Spyware Baru Momento Labs, Menyusup Lewat Chrome

Tim Riset dan Analisis Global (GReAT) Kaspersky menemukan bukti kemunculan kembali kelompok siber penerus HackingTeam melalui serangan spionase siber terbaru. Kelompok yang kini dikenal sebagai Memento Labs diduga berada di balik gelombang baru serangan siber bertarget menggunakan spyware canggih bernama Dante.

Temuan ini terungkap dari investigasi Operation ForumTroll pada  kampanye Advanced Persistent Threat (APT) yang digelar pada Maret 2025 lalu. Investigasi ini mengeksploitasi celah keamanan (zero-day vulnerability) di peramban Google Chrome. 

Dalam presentasi di forum Security Analyst Summit (SAS) 2025 yang berlangsung di Phuket, Thailand, Principal Security Researcher di Kaspersky GReAT, Boris Lorin mengatakan kampanye spionase siber tersebut menargetkan media, lembaga pendidikan, dan instansi pemerintah di Rusia dengan menggunakan email phishing yang menyerupai undangan ke forum Primakov Readings. Serangan ini memanfaatkan celah keamanan CVE-2025-2783 pada Chrome.

Menurut Boris, dalam penyelidikan, peneliti Kaspersky menemukan spyware bernama LeetAgent yang unik karena menggunakan perintah dengan menuliskan sebuah kode langka di dunia malware. Analisis lanjutan menemukan kemiripan antara LeetAgent dan spyware lain yang lebih kompleks, yaitu Dante, yang ternyata juga dikembangkan oleh Memento Labs, penerus langsung HackingTeam.

Meskipun Dante menggunakan teknik perlindungan kode canggih seperti VMProtect obfuscation, Kaspersky mengidentifikasi nama malware dari potongan kode. Menurut Boris, Kaspersky juga menemukan kesamaan antara Dante dan Remote Control System, spyware komersial yang sebelumnya dikembangkan oleh HackingTeam.

“Keberadaan vendor spyware sebenarnya bukan hal baru, tetapi sangat sulit diidentifikasi, terutama dalam serangan tertarget. Mengungkap asal-usul Dante memerlukan analisis mendalam terhadap kode yang kompleks dan menelusuri evolusi malware selama bertahun-tahun,” kata Boris dalam Forum SAS hari pertama Senin (27/10).  

Boris menjelaskan, Kaspersky menelusuri penggunaan awal LeetAgent sejak 2022, dengan target utama organisasi dan individu di Rusia dan Belarus. Grup ini menonjol karena penguasaan bahasa Rusia dan pemahaman konteks lokal, meski beberapa kesalahan linguistik menunjukkan mereka bukan penutur asli.

Serangan yang menggunakan LeetAgent pertama kali terdeteksi oleh Kaspersky Next XDR Expert. Adapun Kaspersky GReAT merupakan divisi riset utama Kaspersky yang fokus mengungkap APT, spionase siber, malware besar, dan tren kejahatan siber global. Tim ini terdiri dari lebih dari 35 peneliti yang tersebar di Eropa, Rusia, Asia, Timur Tengah, dan Amerika Latin.

Sementara itu, CEO Kaspersky, Eugene Kaspersky mengatakan forum SAS yang diselenggarakan hingga Rabu (29/10) merupakan bentuk komitmen para praktisi di bidang keamanan digital untuk memerangi malware dan spionase. 

"Kita tidak hanya melihat apa yang terjadi tetapi kita perlu menjadi bagian untuk melindungi, memprediksi dan membangun perlindungan untuk komunitas," ujar Eugene saat membuka forum. Adapun kegiatan dihadiri lebih dari 100 praktisi keamanan digital dari berbagai negara tidak hanya dari perusahaan swasta tetapi juga dari unsur pemerintah.