En octubre de 2025, los analistas de Kaspersky detectaron una nueva oleada de ataques dirigidos de ciberespionaje atribuida al grupo conocido como «Forumny Troll». La campaña tuvo como objetivo a politólogos, expertos en relaciones internacionales y economistas de universidades y centros de investigación líderes en Rusia, explotando un señuelo especialmente sensible en el entorno académico: supuestas acusaciones de plagio.
Phishing académico basado en falsas verificaciones de plagio
Las víctimas recibían correos desde la dirección support@e-library[.]wiki, asociada a un dominio que imitaba visualmente y funcionalmente al portal oficial de la biblioteca científica rusa elibrary.ru. Este tipo de clonación de sitios legítimos es una táctica clásica de phishing: al parecer auténtico, aumenta la probabilidad de que el usuario siga las instrucciones sin sospechar.
En los mensajes se incluía un enlace a un supuesto informe con los resultados de una comprobación antiplagio de sus trabajos. Al acceder, se ofrecía la descarga de un archivo ZIP nombrado con el apellido del destinatario. Dentro, una carpeta .Thumbs contenía imágenes aparentemente inofensivas junto a un acceso directo malicioso que, al ser ejecutado, iniciaba la descarga y ejecución de malware.
Mientras el equipo se infectaba, se abría en paralelo un documento PDF borroso con “pruebas” del plagio. Este truco de distracción es habitual: el usuario se concentra en el contenido del documento y pasa por alto la actividad anómala en segundo plano.
Evolución del grupo: de exploits 0‑day a la ingeniería social avanzada
«Forumny Troll» ya había sido vinculado en la primavera de 2025 a una compleja campaña de espionaje contra organizaciones rusas, en la que utilizó una cadena de exploits 0‑day para Google Chrome y correos falsos de invitación al foro «Lecturas Primakov». En aquella investigación se identificó la familia de malware LeetAgent y se rastreó la actividad del grupo al menos hasta 2022.
El análisis posterior destapó el uso de Dante, un software espía comercial desarrollado por la empresa italiana Memento Labs (antigua Hacking Team). Según Kaspersky, se trataría del primer caso documentado de uso de Dante en ataques reales, pese a haberse anunciado en 2023. El director de Memento Labs, Paolo Lezzi, confirmó la autoría del producto y atribuyó la filtración al uso de una versión obsoleta por parte de un cliente gubernamental.
Esta combinación de herramientas comerciales de intrusión con técnicas de phishing dirigido encaja con las tendencias observadas en informes como el Verizon DBIR o los análisis de ENISA, que sitúan la ingeniería social entre los vectores de ataque más efectivos frente a objetivos de alto valor.
Cadena técnica de infección: Tuoni, COM hijacking y uso malicioso de CDN
En la fase final del compromiso, los atacantes integraron Tuoni, una herramienta legítima de red teaming diseñada para pruebas de intrusión controladas. En este contexto, Tuoni se empleó como una plataforma de acceso remoto y movimiento lateral dentro de las redes comprometidas, transformando un recurso defensivo en un arma ofensiva.
Para mantener la persistencia, la campaña se apoyó en la técnica de COM hijacking, que consiste en modificar entradas del registro de Windows asociadas a componentes COM. El malware se registraba en la clave HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32, logrando ejecutarse cuando el sistema invocaba ese objeto COM. Esta técnica ya se había observado en operaciones anteriores del mismo grupo, lo que refuerza un patrón estable de TTP (tácticas, técnicas y procedimientos).
La infraestructura de mando y control (C2) se alojaba en la nube de Fastly, un proveedor legítimo de CDN. Al camuflar el tráfico malicioso entre solicitudes a un servicio ampliamente usado, se dificulta tanto el bloqueo como la atribución. Además, los servidores respondían de forma distinta según el sistema operativo de la víctima y limitaban descargas repetidas, complicando el trabajo de los analistas de seguridad que intentaban obtener muestras para su estudio.
Preparación prolongada y elección de objetivos en el entorno académico
El sitio fraudulento que reproducía la biblioteca electrónica habría estado activo al menos desde diciembre de 2024, lo que indica meses de preparación en registro de dominios, creación de contenidos y diseño del escenario de ingeniería social. Este nivel de planificación es habitual en campañas de ciberespionaje orientadas a obtener información estratégica, más que a generar un beneficio económico inmediato.
Los investigadores subrayan que el sector académico es un objetivo recurrente por varias razones: abundante información de contacto pública en webs de universidades y congresos, acceso a datos sensibles (informes de política exterior, análisis económicos, proyectos financiados por el Estado) y una cultura de apertura que favorece la respuesta rápida a correos sobre plagio, becas, conferencias o revisiones de trabajos.
Tal como resume Georgy Kucherina, del Global Research and Analysis Team (GReAT) de Kaspersky, la combinación de ingeniería social sofisticada, suplantación de servicios conocidos y uso de herramientas ofensivas comerciales convierte estas campañas en una amenaza especialmente seria para la comunidad académica y de expertos.
Recomendaciones de ciberseguridad para investigadores y universidades
A pesar del nivel de los atacantes, medidas de ciberseguridad básicas bien implementadas reducen de forma significativa el riesgo de compromiso:
- Instalar y mantener actualizado software de seguridad en todos los dispositivos personales y corporativos.
- Verificar cuidadosamente dominios y direcciones de correo, especialmente en mensajes sobre plagio, convocatorias de conferencias, subvenciones o revisiones de trabajos.
- No abrir adjuntos ni pulsar enlaces en correos inesperados; acceder siempre a los servicios (como bibliotecas electrónicas) escribiendo manualmente la URL conocida.
- Implantar formación periódica en ciberhigiene para docentes, investigadores y personal administrativo, con simulaciones de phishing adaptadas al contexto académico.
- Establecer canales internos claros para reportar correos sospechosos y procedimientos de respuesta rápida ante incidentes.
La campaña atribuida a «Forumny Troll» ilustra cómo los atacantes están desplazando parte de su inversión desde los exploits 0‑day hacia la explotación sistemática del factor humano. Reforzar la cultura de seguridad en universidades y centros de investigación deja de ser una opción y se convierte en un requisito para proteger la integridad científica, la reputación profesional y la información estratégica que gestiona la comunidad académica.
