Hace semanas que se han encendido todas las alarmas ante la aparición de una herramienta capaz de infiltrarse con precisión quirúrgica en sistemas de alto valor. No se trata de un malware cualquiera, sino de un software espía que combina técnicas avanzadas de evasión con una arquitectura heredada de uno de los grupos más temidos del sector.
Su descubrimiento ha destapado un complejo entramado que une pasado y presente del espionaje digital corporativo.
El hallazgo de esta nueva amenaza no ha sido fruto del azar. Un equipo especializado de la compañía Kaspersky, conocido como GReAT, identificó el programa durante una investigación sobre una campaña de ciberataques dirigida contra entidades gubernamentales y financieras.
Lo que comenzó como un caso de phishing terminó revelando la existencia de un sistema de vigilancia encubierto, de diseño meticuloso y con claras conexiones con Memento Labs, sucesor del desaparecido HackingTeam.
El origen de este software espía ligado a operaciones encubiertas
El rastro del software espía salió a la luz durante la Operación ForumTroll, una campaña de Amenaza Persistente Avanzada que aprovechó una vulnerabilidad zero-day en Google Chrome, catalogada como CVE-2025-2783.
Los ciberdelincuentes, ocultos tras correos de invitación falsos a conferencias académicas, lograron acceder a redes de comunicación rusas y bielorrusas. Desde allí, el grupo desplegó un primer módulo bautizado como LeetAgent, encargado de abrir la puerta al componente principal.
El análisis reveló que LeetAgent utilizaba comandos escritos en leetspeak, un lenguaje que sustituye letras por símbolos y números, lo que dificultaba su detección.
Este detalle llamó la atención de los expertos, que al comparar el comportamiento de varios ejemplares de malware encontraron patrones coincidentes con un programa más sofisticado.
Ese segundo componente resultó ser el verdadero núcleo de la amenaza: un spyware llamado Dante.
Técnicas de camuflaje y persistencia
La sofisticación de Dante reside en su habilidad para pasar desapercibido. Su código está protegido con herramientas de ofuscación como VMProtect, que modifican la estructura interna del programa para impedir que los antivirus lo reconozcan.
Además, utiliza un sistema de verificación que analiza el entorno antes de ejecutar cualquier acción, asegurándose de que no se encuentra en un laboratorio de análisis o en una máquina virtual de prueba.
Una vez activo, recopila información sensible, monitoriza las comunicaciones y puede activar funciones de grabación o captura de pantalla sin dejar rastro visible. Los datos obtenidos se transmiten a servidores remotos mediante canales cifrados, lo que complica aún más el rastreo.
Según Kaspersky, el nivel de ingeniería empleado indica que no se trata de un desarrollo amateur, sino de un proyecto financiado con recursos significativos.
El vínculo del software espía con Memento Labs
La pista más reveladora surgió al comparar fragmentos de código de Dante con versiones antiguas del software Remote Control System (RCS), una herramienta comercial utilizada en el pasado por agencias gubernamentales.
Las coincidencias confirmaron que Dante no era un desarrollo completamente nuevo, sino una evolución directa de aquellas tecnologías diseñadas por HackingTeam, compañía italiana desmantelada tras una filtración masiva de datos en 2015.
Memento Labs, formada por antiguos miembros de aquel grupo, habría continuado perfeccionando el legado de RCS. En sus catálogos promocionales, disponibles en entornos restringidos de internet, aparecía un producto con el mismo nombre y características similares a las detectadas por los investigadores.
Esta conexión refuerza la teoría de que Dante es el heredero moderno de una larga tradición de software de vigilancia comercial adaptado ahora al espionaje encubierto.
Un reto para la ciberseguridad global
El descubrimiento de Dante reabre el debate sobre la delgada línea que separa las herramientas de seguridad legítimas del uso abusivo con fines políticos o económicos.
Y es que, el mercado del spyware comercial se ha vuelto un terreno fértil para la reutilización de tecnologías que en principio estaban destinadas al uso estatal controlado.
Una vez que estos programas caen en manos de actores no regulados, su alcance se multiplica y las víctimas potenciales se diversifican.
La capacidad de infiltración de este software espía representa un desafío técnico de primer nivel.
Su estructura modular le permite actualizarse constantemente, lo que complica su eliminación y encarece el proceso de defensa para las empresas afectadas. A diferencia de los virus tradicionales, su objetivo no es causar daños inmediatos, sino permanecer oculto el mayor tiempo posible, extrayendo información estratégica sin levantar sospechas.
Ojo con su huella lingüística y geográfica
Uno de los aspectos más curiosos del caso es la localización de sus ataques. Aunque las operaciones se centraron en Rusia y Bielorrusia, los investigadores detectaron indicios de que los responsables no eran hablantes nativos del ruso.
Pequeños errores gramaticales en los correos de phishing y diferencias sutiles en la redacción apuntan a un equipo internacional con alta competencia técnica, pero con una comprensión parcial de los matices culturales del idioma.
Este detalle refuerza la hipótesis de una estructura de ciberdelincuencia organizada que trabaja bajo contratos o encargos específicos, un modelo cada vez más común en el panorama de amenazas avanzadas.
Para los analistas, resulta evidente que Dante forma parte de una red más amplia que ofrece servicios de espionaje a medida, una práctica que ya se había observado en grupos como Pegasus o FinFisher, aunque con un grado de sofisticación diferente.
