Группировка, стоящая за операцией ForumTroll, начала новую кампанию кибершпионажа, сфокусированную на конкретных персоналиях внутри России. По данным «Лаборатории Касперского», подозрительная активность была зафиксирована в октябре 2025 года. Если весенние кибератаки были направлены преимущественно на организации, то осенняя волна ударила точечно по людям: учёным в области политологии, международных отношений и мировой экономики. Жертвами становятся сотрудники крупнейших российских университетов и научно-исследовательских институтов.
Ключевым вектором атаки стала рассылка фишинговых писем, мастерски имитирующих уведомления от eLibrary — главной российской научной электронной библиотеки. Сообщения приходили с адреса support@e-library[.]wiki. Примечательно, что домен был зарегистрирован ещё в марте 2025 года — за полгода до активной фазы кампании. Такая стратегия «старения» домена используется хакерами намеренно: она позволяет усыпить бдительность спам-фильтров, которые обычно блокируют рассылки с только что созданных адресов. Чтобы окончательно развеять сомнения жертвы, на поддельном домене была развёрнута точная копия легитимной главной страницы elibrary[.]ru.
Схема заражения отличается большой степенью персонализации. В письме получателю предлагают перейти по ссылке, чтобы скачать «отчёт о плагиате» или справку об оригинальности научной работы. При клике на компьютер загружается ZIP-архив, название которого идеально соответствует полному имени жертвы (формат Фамилия_Имя_Отчество.zip).
Злоумышленники предусмотрели защиту от любопытных исследователей и автоматических сканеров:
- Одноразовые ссылки: Повторная попытка перехода по URL выдаёт сообщение об ошибке: «Загрузка не удалась, пожалуйста, попробуйте позже».
- Проверка устройства: Если жертва попытается открыть ссылку не с Windows-компьютера (например, со смартфона), система предложит повторить попытку «позднее на компьютере с ОС Windows».
Внутри архива скрыт вредоносный ярлык (*.lnk), который при запуске активирует скрипт PowerShell. Этот скрипт загружает полезную нагрузку с удалённого сервера, одновременно открывая на экране отвлекающий PDF-документ, чтобы пользователь ничего не заподозрил. Вредонос закрепляется в системе через технику перехвата объектов COM (COM hijacking).
Финальной целью атаки является развёртывание фреймворка Tuoni. Это инструмент двойного назначения: он используется как для легальных тестов на проникновение, так и хакерами для создания скрытых каналов управления. Tuoni обеспечивает злоумышленникам полный удалённый доступ к заражённому устройству. Эксперты отмечают, что ForumTroll действует в России и Беларуси как минимум с 2022 года, и, судя по сложности инструментария, атаки будут продолжаться.
