Herramientas compartidas por ForumTroll y actores de Dante: análisis técnico y riesgos emergentes

Introducción

Durante la edición de 2025 de la Security Analyst Summit (SAS), expertos en ciberseguridad de Kaspersky desvelaron hallazgos reveladores sobre la convergencia de herramientas entre el grupo ForumTroll y actores vinculados al malware Dante, desarrollado por Memento Labs, anteriormente conocidos como HackingTeam. La identificación de utilidades compartidas y tácticas coincidentes profundiza en la relación entre estas amenazas avanzadas y plantea preguntas críticas sobre la proliferación de arsenales ofensivos en el mercado clandestino.

Contexto del Incidente o Vulnerabilidad

ForumTroll, activo desde 2015 y atribuido a múltiples campañas de ciberespionaje en Asia Central y Europa del Este, se ha caracterizado por el uso de implantes personalizados y técnicas de persistencia evasivas. Por otro lado, Dante es una plataforma modular de acceso remoto (RAT) utilizada por clientes de Memento Labs, sucesores de HackingTeam tras su filtración en 2015, y distribuida como parte de servicios ofensivos bajo demanda.

La convergencia de herramientas entre estos actores sugiere la existencia de un ecosistema subterráneo en el que elementos desarrollados por vendors de ciberarmas son reutilizados o revendidos a distintos grupos con intereses divergentes. Este fenómeno complica la atribución y amplía la superficie de exposición para organizaciones objetivo.

Detalles Técnicos

Las investigaciones presentadas en SAS 2025 revelan que tanto ForumTroll como operadores de Dante emplean utilidades de post-explotación idénticas, incluyendo módulos para exfiltración silenciosa, escaneo de redes internas y herramientas para la manipulación de credenciales. Varias de estas utilidades han sido empaquetadas como plugins DLL inyectables, y su código fuente presenta solapamientos en firmas y algoritmos de cifrado.

Entre los CVEs aprovechados en campañas recientes destacan CVE-2023-23397 (vulnerabilidad en Microsoft Outlook) y CVE-2024-21412 (fallo en Windows SmartScreen), ambos utilizados como vectores iniciales de acceso. Los atacantes han demostrado habilidades avanzadas en movimiento lateral, empleando técnicas documentadas en MITRE ATT&CK como T1075 (Pass the Hash), T1550 (Use of Application Layer Protocol) y T1027 (Obfuscated Files or Information).

Indicadores de Compromiso (IoC) recopilados incluyen hashes SHA-256 de variantes de Dante y artefactos de ForumTroll, direcciones IP asociadas a infraestructura C2 en Europa del Este y certificados digitales fraudulentos utilizados para firmar payloads.

Impacto y Riesgos

El uso compartido de utilidades entre grupos independientes incrementa el riesgo de incidentes con impacto transversal en sectores críticos, desde administración pública hasta banca y telecomunicaciones. La modularidad de Dante facilita la adaptación de nuevas funcionalidades —keylogging, audio/video surveillance, VNC— y su integración con frameworks conocidos como Metasploit y Cobalt Strike acelera el ciclo de ataque.

Se estima que, desde 2023, más de un 30% de los incidentes atribuidos a ForumTroll presentan artefactos coincidentes con variantes del malware Dante. Las pérdidas económicas derivadas de estas campañas superan los 80 millones de euros a nivel global, con violaciones de datos personales bajo el marco del GDPR y riesgos de sanciones por incumplimiento de NIS2.

Medidas de Mitigación y Recomendaciones

Para contrarrestar este tipo de amenazas, se recomienda la actualización inmediata de todos los sistemas afectados por las CVEs mencionadas y la adopción de soluciones EDR/XDR capaces de identificar comportamientos anómalos de post-explotación. Es fundamental reforzar el monitoreo de tráfico lateral y la segmentación de redes, así como aplicar autenticación multifactor (MFA) para cuentas privilegiadas.

La integración de listas de IoC actualizadas en los SIEM y la realización periódica de threat hunting orientado a TTP identificados en campañas de ForumTroll/Dante son acciones clave. Además, es aconsejable revisar políticas de seguridad de endpoints y establecer procedimientos de respuesta ante incidentes adaptados a la detección temprana de implantes modulares.

Opinión de Expertos

Según Ivan Kwiatkowski, investigador sénior de Kaspersky, “la reutilización de herramientas entre actores como ForumTroll y los clientes de Dante evidencia la profesionalización del cibercrimen y la existencia de un mercado gris de capacidades ofensivas. La línea entre grupos patrocinados por estados y actores mercenarios se difumina, lo que exige un enfoque de defensa multicapa y un refuerzo de la colaboración internacional”.

Implicaciones para Empresas y Usuarios

Para las empresas, la principal consecuencia es la dificultad creciente para atribuir ataques y anticipar tácticas emergentes. La exposición a variantes derivadas de arsenales comerciales como Dante implica que organizaciones de cualquier tamaño pueden ser objetivo de operaciones avanzadas. La adecuación a marcos regulatorios, especialmente GDPR y NIS2, requiere incrementar la inversión en ciberinteligencia y formación continua para personal técnico y directivo.

Los usuarios finales, por su parte, deben extremar precauciones ante correos y archivos sospechosos, y las organizaciones deben reforzar campañas de concienciación sobre ingeniería social, dado que muchos accesos iniciales explotan la interacción humana.

Conclusiones

El análisis presentado en SAS 2025 confirma que la compartición de herramientas entre ForumTroll y actores armados con Dante representa una tendencia al alza en el panorama de amenazas. Este fenómeno subraya la necesidad de estrategias de defensa proactivas, inversiones en tecnologías de detección avanzada y una cooperación más estrecha entre el sector privado y organismos reguladores.

Las organizaciones deben anticipar la evolución de estos arsenales y adaptar sus mecanismos de defensa a un escenario donde la profesionalización y la oferta de capacidades ofensivas como servicio cambian las reglas del juego.

(Fuente: www.kaspersky.com)