Im Oktober 2025 haben Analysten der «Laboratorija Kasperskogo» eine neue Welle zielgerichteter Cyberangriffe dokumentiert, die der Gruppierung «Forumny Troll» zugeschrieben wird. Im Fokus standen diesmal Politikwissenschaftler, Experten für internationale Beziehungen und Ökonomen führender russischer Universitäten und Forschungsinstitute. Der Angriffsvektor war eine sorgfältig vorbereitete Phishing-Kampagne mit angeblichen Plagiatsvorwürfen – ein Thema, das in der akademischen Welt unmittelbare Reaktionen auslöst.
Neue Phishing-Kampagne: gefälschte Benachrichtigungen zur Plagiatsprüfung
Die Zielpersonen erhielten E-Mails von der Adresse support@e-library[.]wiki. Der zugehörige Domainname war mit einer Website verknüpft, die den offiziellen Auftritt der russischen wissenschaftlichen Bibliothek elibrary.ru nahezu identisch nachbildete. Solche Brand-Impersonation-Angriffe nutzen das Vertrauen in bekannte Plattformen aus: Layout, Sprache und Inhalte wirkten legitim, wodurch die Hemmschwelle, auf Links zu klicken oder Dateien zu öffnen, deutlich sank.
In den Nachrichten war ein Link zu einem angeblichen Bericht über die Überprüfung einer wissenschaftlichen Arbeit auf Plagiat enthalten. Nach dem Aufruf der Seite wurde den Betroffenen ein ZIP-Archiv zum Download angeboten, dessen Dateiname auf ihre eigene Identität zugeschnitten war. Diese Personalisierung ist ein typisches Merkmal von Spear-Phishing, also hochgradig zielgerichteten Phishing-Attacken.
Angriffskette: manipuliertes ZIP-Archiv und Ablenkung durch PDF
Im heruntergeladenen ZIP-Archiv befand sich ein Verzeichnis .Thumbs mit unauffälligen Bilddateien sowie eine vermeintliche Dokumentverknüpfung. Während die Bilder der Tarnung dienten, war der Shortcut tatsächlich ein Loader für Schadsoftware. Ein Klick auf das Symbol reichte, um die Infektion des Systems zu starten.
Parallel zur Installation der Malware wurde ein unscharfer PDF-Bericht mit angeblichen Belegen für Plagiatsverstöße geöffnet. Diese Ablenkungstaktik ist aus zahlreichen APT-Kampagnen bekannt: Der Nutzer konzentriert sich auf den Inhalt des Dokuments und bemerkt den verdächtigen Systemverhalten oft nicht. Laut dem «Verizon Data Breach Investigations Report 2023» ist bei rund 74 % der Sicherheitsvorfälle der Mensch – etwa durch Phishing oder Social Engineering – ein wesentlicher Faktor, was die Wirksamkeit solcher Methoden unterstreicht.
Technisches Profil: Tuoni, COM Hijacking und verschleierte C2-Infrastruktur
Im letzten Schritt der Infektionskette wurde der legitime Red-Teaming-Agent Tuoni eingesetzt. Eigentlich dient dieses Werkzeug Sicherheitsprüfern dazu, Angriffe in kontrollierten Testszenarien zu simulieren. In dieser Kampagne wurde Tuoni jedoch als vollwertige Remote-Access-Komponente missbraucht, um die kompromittierten Systeme aus der Ferne zu steuern und sich lateral im Netzwerk zu bewegen.
Zur Persistenz nutzten die Angreifer COM Hijacking. Dabei manipuliert Malware Einträge der Windows-Registrierungsdatenbank, um sich beim Aufruf bestimmter Systemkomponenten automatisch zu laden. In diesem Fall wurde der Schlüssel HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32 verändert. Dieselbe Technik war bereits in früheren Operationen von «Forumny Troll» beobachtet worden, was auf ein stabiles Muster ihrer TTPs (Tactics, Techniques and Procedures) hinweist.
Die Command-and-Control-Infrastruktur (C2) war in die Cloud-Plattform von Fastly eingebettet. Durch die Nutzung eines populären CDN-Dienstes tarnten die Angreifer ihren Datenverkehr als legitimen Content-Delivery-Traffic. Je nach Betriebssystem lieferte der Server unterschiedliche Antworten aus; zudem wurden wiederholte Downloads begrenzt, um Malware-Analysten die Beschaffung mehrerer Proben zu erschweren.
Von 0-Day-Exploits zu Social Engineering: Evolution von «Forumny Troll»
Bereits im Frühjahr 2025 war die Gruppe durch eine komplexe Spionageoperation gegen russische Organisationen aufgefallen. Damals setzten die Angreifer auf eine Kette von 0-Day-Exploits für Google Chrome und verschickten gefälschte Einladungen zum Forum «Primakowskie Tchtenija». Die Untersuchung führte zur Entdeckung der zuvor unbekannten Malware LeetAgent und ermöglichte es, Aktivitäten der Gruppe mindestens bis ins Jahr 2022 zurückzuverfolgen.
Im Zuge der weiteren Analyse wurde ein weiteres zentrales Werkzeug identifiziert: das kommerzielle Spionage-Framework Dante der italienischen Firma Memento Labs (ehemals Hacking Team). Nach Angaben von Kaspersky handelt es sich dabei um den ersten dokumentierten Einsatz von Dante in realen Angriffen, obwohl das Produkt bereits 2023 angekündigt wurde. Unternehmenschef Paolo Lezzi bestätigte die Herkunft von Dante und führte den Vorfall auf die Nutzung einer veralteten Version durch einen staatlichen Kunden zurück.
Die aktuelle Kampagne zeigt eine strategische Verschiebung: Statt teurer 0-Day-Schwachstellen setzt «Forumny Troll» nun stärker auf psychologische Hebel und verbreitete Offensive-Tools wie Tuoni. Dieses Muster entspricht einem globalen Trend, bei dem Angreifer zunehmend den Menschen statt die Technik ins Zentrum ihrer Angriffsstrategie stellen.
Warum Wissenschaftler im Fadenkreuz von Cyberspionage stehen
Die Analyse der gefälschten Bibliotheks-Website – aktiv mindestens seit Dezember 2024 – weist auf eine monatelange Vorbereitung hin, inklusive Domain-Registrierung, inhaltlicher Befüllung und Entwicklung des Social-Engineering-Szenarios. Dies spricht klar für eine langfristig angelegte Spionageoperation.
Wissenschaftler, Analysten und Think-Tank-Mitarbeiter sind für solche Gruppen besonders interessant. Ihre Kontaktinformationen sind meist öffentlich über Universitätsseiten, Konferenzprogramme oder Forschungsportale zugänglich. Zugleich verfügen sie häufig über frühzeitigen Zugang zu politischen Analysen, wirtschaftlichen Prognosen oder strategischen Bewertungen, die für staatliche oder staatsnahe Akteure äußerst wertvoll sein können.
Plagiatsvorwürfe treffen direkt den wissenschaftlichen Ruf. Die Betroffenen haben ein hohes Interesse, Vorwürfe schnell zu prüfen und zu entkräften – ein idealer Hebel, um sie zum Öffnen von Anhängen oder zum Anklicken von Links zu bewegen. Genau diese psychologische Drucksituation macht das Szenario so wirkungsvoll.
Handlungsempfehlungen für Hochschulen und Forschungseinrichtungen
Angesichts der beschriebenen Kampagne gewinnen grundlegende Sicherheitsmaßnahmen im akademischen Umfeld an zentraler Bedeutung. Auf allen Arbeits- und Privatgeräten von Forschenden sollten aktuelle Endpoint-Schutzlösungen, idealerweise mit EDR-Funktionen, installiert und regelmäßig aktualisiert werden. Ebenso wichtig sind zeitnahe Sicherheitsupdates für Betriebssysteme und Anwendungen, um bekannte Schwachstellen zu schließen.
Institutionen sollten ihre E-Mail-Infrastruktur mit SPF, DKIM und DMARC absichern und Filterregeln für typische Spear‑Phishing-Muster etablieren. Verdächtige Domains, die bekannte Plattformen imitieren, lassen sich oft automatisiert blockieren. Ergänzend empfiehlt sich ein klar definierter Prozess zur Verifikation ungewöhnlicher Anfragen – etwa durch Rückruf über bekannte Telefonnummern oder den direkten Kontakt zur offiziellen Stelle.
Regelmäßige Schulungen zur Cyberhygiene für Lehrende, Forschende und Verwaltungsmitarbeiter sind unverzichtbar. Anhand realitätsnaher Beispiele – etwa fingierter Plagiatsbenachrichtigungen, Konferenzeinladungen oder Grant-Ankündigungen – lässt sich das Bewusstsein für Angriffsstrategien wie die von «Forumny Troll» nachhaltig schärfen. Simulierte Phishing-Kampagnen helfen, Fortschritte zu messen und Schwachstellen in Prozessen aufzudecken.
Letztlich zeigt die Kampagne von «Forumny Troll», dass sich moderne Cyberspionage aus einer Kombination von gezielter sozialer Manipulation und professionellen Offensivwerkzeugen speist. Hochschulen, Forschungseinrichtungen und einzelne Experten sollten diese Entwicklung zum Anlass nehmen, ihre Sicherheitsrichtlinien, technischen Schutzmaßnahmen und Schulungskonzepte kritisch zu überprüfen und fortlaufend zu verbessern. Wer die grundlegenden Prinzipien der IT-Sicherheit konsequent umsetzt und Verdachtsfälle frühzeitig meldet, kann selbst gegenüber gut organisierten Angreifergruppen das Risiko erfolgreicher Angriffe deutlich reduzieren.
