El hallazgo de Dante, un nuevo y sofisticado software espía, ha encendido las alarmas en la comunidad de ciberseguridad. Lejos de ser un malware común, este programa combina técnicas avanzadas de evasión con una arquitectura heredada de HackingTeam, uno de los grupos más temidos en el espionaje digital.

El descubrimiento fue realizado por el equipo GReAT de Kaspersky, durante la investigación de una campaña de ciberataques contra entidades gubernamentales y financieras. Lo que comenzó como un simple caso de phishing terminó revelando una operación encubierta con fuertes vínculos con Memento Labs, sucesor directo del desaparecido HackingTeam.

El origen del software espía Dante

El rastro de Dante apareció durante la Operación ForumTroll, una campaña de amenaza persistente avanzada (APT) que explotó una vulnerabilidad zero-day en Google Chrome (CVE-2025-2783). Los atacantes enviaban correos falsos de invitación a conferencias académicas para infiltrarse en redes rusas y bielorrusas.

El primer módulo, llamado LeetAgent, utilizaba comandos escritos en leetspeak —un lenguaje que sustituye letras por símbolos y números—, dificultando su detección. Este componente servía como puerta de entrada al núcleo del ataque: el spyware Dante.

Técnicas de camuflaje y persistencia

Dante destaca por su capacidad de pasar desapercibido. Utiliza herramientas de ofuscación como VMProtect, que alteran la estructura del código, y un sistema de autoverificación que evita su ejecución si detecta entornos de análisis o máquinas virtuales.

Una vez activo, recopila información sensible, monitoriza comunicaciones, activa grabaciones y captura pantallas sin dejar rastro. Los datos robados se transmiten de forma cifrada a servidores remotos, dificultando el rastreo. Según Kaspersky, este nivel de ingeniería sugiere el respaldo de una organización con financiación considerable.

Conexión con HackingTeam y Memento Labs

Los investigadores hallaron coincidencias entre fragmentos de código de Dante y versiones antiguas del software Remote Control System (RCS), desarrollado por HackingTeam. Esta relación confirma que Dante es una evolución moderna de aquellas herramientas de vigilancia, perfeccionadas ahora por Memento Labs.

En catálogos privados de esta empresa se mencionaba un producto con el mismo nombre y características similares, lo que refuerza la hipótesis de que Dante es el heredero directo de la antigua tecnología de espionaje digital comercial.

Un reto global para la ciberseguridad

El caso de Dante reabre el debate sobre la delgada línea entre el uso legítimo de las herramientas de vigilancia y su abuso con fines políticos o económicos. Su arquitectura modular le permite actualizarse constantemente, complicando su eliminación y facilitando su persistencia a largo plazo.

Su objetivo no es dañar sistemas, sino mantenerse oculto el mayor tiempo posible para extraer información estratégica sin ser detectado. Este tipo de software representa un desafío técnico de primer nivel para la ciberseguridad global.

Huella lingüística y geográfica

Uno de los aspectos más curiosos del caso es la procedencia lingüística de los atacantes. Aunque los ataques se centraron en Rusia y Bielorrusia, los investigadores detectaron errores gramaticales y matices culturales inconsistentes, lo que sugiere que no eran hablantes nativos del ruso.

Esto apunta a un equipo internacional de ciberdelincuentes con alta competencia técnica. Los analistas creen que Dante forma parte de una red de espionaje por encargo, similar a casos como Pegasus o FinFisher, aunque con un enfoque más discreto y modular.