Восени 2025 року фахівці зафіксували нову хвилю цільових кібератак, пов’язаних з активністю угруповання «Форумний тролль». На цей раз під удар потрапили політологи, фахівці з міжнародних відносин та економісти провідних університетів і науково-дослідних інститутів. Ключовим інструментом зловмисників стала фішингова кампанія зі сценарієм, що болісно б’є по репутації кожного дослідника, — звинувачення в плагіаті.
Фішинг під виглядом перевірки на плагіат: підроблений e-library та ZIP-архіви
Жертвам надсилали листи з адреси support@e-library[.]wiki, домен якої був пов’язаний із сайтом, що майже повністю копіював інтерфейс та контент наукової електронної бібліотеки elibrary.ru. Такий підхід — класичний приклад атаки на довіру: візуальна схожість та знайомий контекст суттєво знижують пильність користувачів.
У листі містилося посилання на нібито підготовлений звіт про результати перевірки роботи на плагіат. Після переходу користувачу пропонували завантажити ZIP-архів, названий за його прізвищем. Усередині архіву знаходилася папка .Thumbs із невинними на вигляд зображеннями та ярлик-файл. Саме ярлик і запускав ланцюжок завантаження шкідливого ПЗ.
Після кліку по ярлику на комп’ютер встановлювалася малварь, а паралельно відкривався розмитий PDF-документ із «обґрунтуванням» підозр у плагіаті. Така відволікаюча тактика дозволяє зловмисникам сховати підозрілу активність у системі на фоні емоційної реакції користувача на звинувачення.
Еволюція «Форумного тролля»: від 0-day експлойтів до соціальної інженерії
За даними дослідників, навесні 2025 року ця ж група вже проводила складну шпигунську кампанію проти організацій. Тоді використовувалася ланка 0-day експлойтів для браузера Chrome, а фішингові листи маскувалися під запрошення на міжнародний форум. Під час аналізу було виявлено нове шкідливе ПЗ LeetAgent, а активність угруповання простежується щонайменше з 2022 року.
Подальше дослідження інструментарію призвело до виявлення ще одного ключового компонента — Dante, комерційного шпигунського ПЗ, розробленого італійською компанією Memento Labs (колишня Hacking Team). За інформацією спеціалістів, це перший задокументований випадок використання Dante у реальних атаках, попри те, що продукт анонсували ще у 2023 році. Керівник Memento Labs Паоло Лецці підтвердив, що Dante є продуктом компанії, та пояснив інцидент застосуванням застарілої версії одним із державних замовників.
Експерти відзначають зміщення акцентів у тактиці «Форумного тролля»: від дорогих 0-day до більш «економних», але масованих методів соціальної інженерії. Така еволюція характерна для багатьох державно-підтримуваних груп: технічна складність зменшується, але точність підбору жертв і психологічний тиск лише зростають.
Технічний профіль атаки: Tuoni, COM hijacking і керування через CDN
Tuoni як платформа віддаленого доступу
На фінальному етапі зараження зловмисники завантажували легальний інструмент для red teaming — Tuoni. У легітимних сценаріях його застосовують для перевірки захищеності інфраструктури, але в цій кампанії Tuoni перетворився на повноцінний засіб віддаленого доступу до пристроїв жертв, а також плацдарм для подальшого руху мережею (lateral movement).
Закріплення через COM hijacking
Для збереження контролю над системою використовувалася техніка COM Hijacking — підміна налаштувань компонентів COM у реєстрі Windows. Малварь реєструвала себе в ключі HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32, що дозволяло автоматично запускати шкідливий код при зверненні до відповідного COM-об’єкта. Така ж техніка вже фіксувалася у весняній кампанії «Форумного тролля», що вказує на стабільний TTP-профіль групи.
Інфраструктура керування на базі Fastly CDN
Сервери команд і контролю (C2) були розміщені в хмарній мережі Fastly, одному з великих CDN-провайдерів. Це ускладнює блокування шкідливого трафіку й атрибуцію атак: мережеві запити виглядають як звернення до легітимної CDN-інфраструктури. До того ж зловмисники повертали різні відповіді залежно від операційної системи та могли обмежувати повторні завантаження файлів, перешкоджаючи глибокому аналізу малварі з боку фахівців з ІБ.
Чому вчені та аналітики стають пріоритетною ціллю
Розслідування показало, що сайт-підробка під наукову електронну бібліотеку працював щонайменше з грудня 2024 року. Це свідчить про тривалу підготовку кампанії: реєстрацію домену, наповнення ресурсу, налаштування інфраструктури та ретельне опрацювання сценарію фішингу.
Науковці, експерти та аналітики часто є мішенню кібершпигунських операцій. Їхні контакти зазвичай публікуються на сайтах вишів, НДІ та конференцій, що спрощує масову розсилку. Листи з звинуваченнями в плагіаті завдають удару по професійній репутації, тож ймовірність негайного відкриття вкладень і переходу за посиланнями суттєво зростає.
Як зазначає експерт із Глобального центру дослідження та аналізу загроз, поєднання соціальної інженерії, імітації відомих сервісів і використання комерційних offensive-інструментів робить такі атаки особливо небезпечними для академічного середовища. Угруповання «Форумний тролль» з 2022 року системно націлюється на організації та експертів, адаптуючи техніки під актуальний контекст.
Як зменшити ризики цільових кібератак для наукової та експертної спільноти
З огляду на описану кампанію, базова кібергігієна стає критично важливою для вчених, викладачів, експертів-аналітиків і співробітників НДІ. Рекомендовано використовувати актуальне захисне ПЗ на всіх робочих та особистих пристроях, уважно перевіряти домени й адреси відправників, а також утримуватися від відкриття вкладень і переходу за посиланнями з неочікуваних листів, особливо якщо вони стосуються плагіату, грантів, конференцій або перевірок.
Не менш важливим є регулярне навчання співробітників основам протидії фішингу: розбір реальних прикладів атак, відпрацювання сценаріїв реагування, чіткі внутрішні процедури повідомлення про підозрілі листи. Практика показує, що навіть проти технічно просунутих угруповань рівня «Форумного тролля» людський фактор, підкріплений знаннями та правильною поведінкою, здатен істотно знизити шанси успішної компрометації. Для академічного та експертного середовища це питання не лише інформаційної безпеки, а й збереження професійної репутації та дослідницької незалежності.
