Un software italiano sarebbe al centro di una vasta campagna di spionaggio in Russia

Una vulnerabilità sconosciuta di Google Chrome è stata sfruttata nei primi mesi del 2025 per colpire organizzazioni governative e aziende in Russia e Bielorussia. L’attacco, scoperto dai ricercatori dalla società di cybersicurezza Kaspersky, ha utilizzato strumenti di spionaggio digitale creati da Memento Labs, società italiana specializzata in tecnologie di cyber intelligence, nata dalle ceneri della più nota Hacking Team di Milano.

La falla, (il suo nome è CVE-2025-2783), era un cosiddetto zero-day: una vulnerabilità non ancora nota né corretta dai produttori. Permetteva quindi di superare le barriere di sicurezza del browser e di eseguire codice dannoso nel computer della vittima. Gli attaccanti la utilizzavano inviando email di phishing con link personalizzati e di breve durata. Bastava aprire il link con Chrome o un altro browser basato su Chromium (il progetto open source per browser di Google) per installare il malware.

Secondo Kaspersky dietro la campagna (battezzata “Operation ForumTroll”) ci sarebbe un gruppo di hacker sostenuto da uno Stato, anche se non si sa quale. L’unica cosa che si sa è che li spyware è quello creato dalla società milanese. Obiettivo: spionaggio. Le vittime erano enti pubblici, università, centri di ricerca e media russi. L’indagine ha permesso di risalire a uno spyware chiamato Dante, prodotto da Memento Labs. Kaspersky è una società di sicurezza informatica russa, un colosso internazionale con sede a Mosca, discussa per la sua vicinanza al Cremlino ma considerata piuttosto autorevole a livello internazionale. Tuttavia non sono mai emersi elementi inequivocabili che collegano la società ad attività di spionaggio russe.

Storia di Memento Labs, nata dalle ceneri della discussa Hacking Team

Memento Labs è una società con sede a Milano, fondata nel 2019 dalla fusione tra InTheCyber Group e Hacking Team, un nome noto nel mondo della sorveglianza digitale. Hacking Team divenne famosa negli anni 2010 per aver fornito software di intrusione a governi e forze dell’ordine, ma anche a regimi autoritari.

Nel 2015 subì un grave attacco informatico: 400 gigabyte di dati interni furono pubblicati online, rivelando l’elenco dei clienti e gli strumenti di spionaggio usati per violare computer e telefoni. Nell’elenco di clienti di Hacking Team – riportato dal Guardian – c’erano le forze dell’ordine italiane ma anche governi come Arabia Saudita, Egitto e Turchia e paesi occidentali come gli Stati Uniti. Il sospetto è che i software italiani siano stati usati per spiare oppositori politici e giornalisti. Nel 2015 Reporter senza frontiere bollò la società come “nemico di Internet”.

Dopo quel disastro informatico, Hacking Team fu acquistata da InTheCyber e rilanciata con un nuovo nome e un nuovo marchio: Memento Labs. L’azienda si presenta oggi come un fornitore di “soluzioni di sicurezza informatica e cyber intelligence” e dichiara di offrire servizi di analisi digitale e investigazioni informatiche. Secondo i dati disponibili, il fatturato 2023 della società è stato di circa 2,5 milioni di euro. In un’intervista a Vice, il ceo della società, Paolo Lezzi, ha detto che dalla fusione ha dovuto ricostruire tutto d’accapo, e che “Hacking Team è morta” con quell’operazione.

I dubbi di Kaspersky: Memento e Hacking Team sono in continuità

Eppure per qualcuno Hacking Team non è proprio morta. Le indagini di Kaspersky indicano che Memento Labs avrebbe continuato a “sviluppare strumenti di sorveglianza informatica evoluti”. Lo spyware Dante, identificato per la prima volta quest’anno, sarebbe una versione aggiornata dei prodotti storici di Hacking Team, come il “Remote Control System”, capace di accedere a file, microfoni e webcam dei dispositivi infetti. Contattata da Italian Tech, Kaspersky sottolinea che Memento Labs è “il successore di Hacking Team” e che gli spyware analizzati (LeetAgent e Dante) discendono tecnicamente e operativamente dai vecchi strumenti di Hacking Team, in particolare da Remote Control System (RCS).

Il ricercatore di Kaspersky, Boris Larin, ha spiegato che l’exploit sfruttava un comportamento poco conosciuto del sistema operativo Windows, che permetteva di aggirare le protezioni della sandbox di Chrome (una parte del programma che consente di isolare una scheda del browser dalle altre se infettata da uno spyware o da un virus, una sorta di muro tra le varie schede). “È uno dei casi più interessanti di evasione della sandbox che abbiamo mai osservato”, ha dichiarato in una nota diffusa dalla società. La vulnerabilità è stata corretta da Google poco dopo la segnalazione, ma il caso dimostra come le società di spyware commerciali continuino a giocare un ruolo centrale nello sfruttamento delle falle di sicurezza più gravi.

Un intreccio tra tecnologia, interessi economici e geopolitici

Memento Labs non ha rilasciato dichiarazioni ufficiali sul rapporto di Kaspersky. In passato l’azienda ha sempre sostenuto di operare nel rispetto delle leggi italiane ed europee. Avrebbe fornito i propri strumenti solo a enti autorizzati. Tuttavia, la storia di Hacking Team e le scoperte recenti mostrano quanto sia sottile il confine tra sicurezza e sorveglianza, e quanto le tecnologie di intrusione possano finire al centro delle tensioni tra Stati, aziende e diritti individuali.

Quest’ultimo caso in qualche modo lo conferma. C’è una tendenza netta in questo settore: dietro molti attacchi informatici più sofisticati non ci sono hacker isolati, ma un’industria globale della sorveglianza digitale, che prolifica in una zona grigia tra interessi commerciali, spionaggio politico e innovazione tecnologica. Anche quando le vulnerabilità vengono corrette, le informazioni e gli strumenti sviluppati continuano a circolare, pronti a riemergere in nuove campagne. Come, è probabile, è accaduto in questo caso.