В октябре 2025 года специалисты зафиксировали новую волну таргетированных атак, связанных с активностью группировки «Форумный тролль». На этот раз под удар попали политологи, эксперты по международным отношениям и экономисты ведущих вузов и научно-исследовательских институтов. Злоумышленники использовали тщательно подготовленную фишинговую кампанию с поводом, способным вызвать моментальную реакцию в академической среде, — обвинения в плагиате.
Новая схема атаки: поддельные уведомления о проверке на плагиат
Жертвы получали письма с адреса support@e-library[.]wiki. Домен был связан с сайтом, который имитировал официальный портал научной электронной библиотеки elibrary.ru. Такое копирование легитимного ресурса — типичный пример атаки на доверие: визуально и по контексту сайт казался правдоподобным, что повышало шансы успешного фишинга.
В письмах содержалась ссылка на якобы подготовленный отчет о результатах проверки работы на плагиат. После перехода по ссылке пользователю предлагалось скачать ZIP-архив, названный по фамилии адресата. Внутри архива находилась папка .Thumbs с обычными изображениями — элемент маскировки, призванный снизить настороженность — и ярлык файла, который в действительности инициировал загрузку вредоносного ПО.
Клик по ярлыку приводил к установке малвари на компьютер жертвы, а параллельно открывался размытый PDF-документ с «обоснованием» подозрений в плагиате. Такая подмена служит для отвлечения внимания: пользователь сосредотачивается на содержимом документа, не замечая подозрительной активности в системе.
От 0-day к социальной инженерии: эволюция «Форумного тролля»
Весной 2025 года та же группировка уже фигурировала в расследованиях в связи со сложной шпионской кампанией против организаций. Тогда злоумышленники применяли цепочку 0-day эксплойтов для браузера Chrome и рассылали фишинговые приглашения на форум. В ходе анализа специалисты обнаружили неизвестную ранее малварь LeetAgent и проследили активность группы как минимум до 2022 года.
Продолжение исследования арсенала привело к выявлению еще одного ключевого компонента — коммерческого шпионского ПО Dante, разработанного итальянской компанией Memento Labs (бывшая Hacking Team). По данным это первый зафиксированный случай использования Dante в реальных атаках, несмотря на то что продукт был анонсирован еще в 2023 году. Глава Memento Labs Паоло Лецци подтвердил принадлежность Dante его компании, указав, что утечка связана с использованием устаревшей версии одним из госзаказчиков.
Tuoni, COM Hijacking и облачные CDN: технический профиль атаки
Финальный этап заражения включал в себя легальный инструмент для редтиминга Tuoni, обычно применяемый для тестирования защищенности инфраструктуры. В данном случае Tuoni был интегрирован в вредоносную цепочку и использовался злоумышленниками как полноценный удаленный доступ к устройствам жертв и плацдарм для дальнейшего продвижения по сети.
Для закрепления в системе применялась техника COM Hijacking — подмена настроек компонентов COM в реестре Windows. Малварь прописывалась в ключ HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32, что позволяло ей запускаться при обращении к соответствующему COM-объекту. Та же техника уже использовалась группировкой в весенних атаках, что указывает на устойчивый TTP-профиль (tactics, techniques and procedures).
Инфраструктура управления и контроля также была выстроена с учетом противодействия анализу. Серверы управления размещались в облачной сети Fastly, что усложняло блокировку трафика и атрибуцию, поскольку злоумышленники маскировались под легитимный CDN-сервис. Жертвам демонстрировались разные ответы в зависимости от операционной системы, а повторные загрузки файлов могли ограничиваться — это мешало специалистам по ИБ многократно скачивать и изучать образцы.
Длительная подготовка и выбор мишени: почему под удар попали ученые
Анализ поддельного сайта, имитировавшего портал электронной библиотеки (на момент публикации он заблокирован), показал, что ресурс функционировал как минимум с декабря 2024 года. Это указывает на многомесячную подготовку атаки, включающую регистрацию домена, наполнение сайта, настройку инфраструктуры и выстраивание сценария социальной инженерии.
Исследователи отмечают, что ученые и аналитики часто становятся целью кибершпионажа, особенно если их контактная информация доступна в открытых источниках: на сайтах вузов, НИИ и конференций. Фишинговые письма с обвинениями в плагиате бьют по репутации и профессиональному статусу, поэтому получатели с высокой вероятностью открывают вложения, стремясь как можно быстрее разобраться в ситуации.
По словам эксперта Глобального центра исследования и анализа угроз, комбинация социальной инженерии, имитации известных ресурсов и использования коммерческих offensive-инструментов делает такие атаки особенно опасными для академической и экспертной среды.
Специалисты также фиксируют снижение технической изощренности операций «Форумного тролля»: если ранее группа опиралась на дорогостоящие 0-day эксплойты, то в последней кампании акцент сместился на психологическое воздействие и использование распространенных инструментов, таких как Tuoni. При этом сама группировка остается активной с 2022 года и продолжает нацеливаться на организации и экспертов.
С учетом описанной кампании базовые меры кибербезопасности приобретают критическое значение для научного и экспертного сообщества. Рекомендуется установить актуальное защитное ПО на все личные и рабочие устройства, внимательно проверять домены и отправителей писем, не открывать вложения и не переходить по ссылкам из неожиданных сообщений, особенно связанных с плагиатом, грантами, конференциями и проверками. Регулярное обучение сотрудников основам кибергигиены и отработка сценариев реагирования на фишинг позволяют существенно снизить риск успешной атаки даже со стороны продвинутых группировок уровня «Форумного тролля».
