В октябре 2025 года специалисты «Лаборатории Касперского» обнаружили новую волну таргетированных атак, связанных с активностью группировки «Форумный тролль». На этот раз целями злоумышленников стали политологи, специалисты по международным отношениям, экономисты ведущих российских вузов и НИИ. Они получали поддельные адресные уведомления о проверке на плагиат.
Напомним, что весной 2025 года специалисты «Лаборатории Касперского» обнаружили сложную шпионскую кампанию «Форумный тролль», нацеленную на российские организации. Тогда выяснилось, что атакующие использовали цепочку эксплоитов и 0-day в браузере Chrome, атакуя жертв через фишинговые письма с предложением поучаствовать в форуме «Примаковские чтения».
В ходе расследования исследователи выявили ранее неизвестную малварь LeetAgent и проследили активность группы до 2022 года, а продолжая анализ арсенала злоумышленников, обнаружили еще один вредонос — коммерческое шпионское ПО Dante, созданное итальянской Memento Labs (бывшая Hacking Team). Это первый случай использования Dante в реальных атаках: малварь анонсировали еще в 2023 году, но до сих пор она нигде не встречалась.
Впоследствии глава Memento Labs Паоло Лецци (Paolo Lezzi) подтвердил, что Dante — действительно принадлежит его компании. При этом Лецци обвинил одного из государственных клиентов в раскрытии спайвари, заявив, что тот использовал устаревшую версию.
Как сообщают специалисты «Лаборатории Касперского», на этот раз рассылка фишинговых писем осуществлялась с адреса support@e-library[.]wiki. Домен принадлежал сайту, который имитировал официальный российский портал elibrary.ru.
В сообщениях содержалась ссылка якобы с отчетом, в котором сообщалось, на чем основаны подозрения в плагиате. После нажатия на ссылку открывался ZIP-файл, названный по фамилии получателя. В архиве находились папка .Thumbs с обычными изображениями (предполагается, она была добавлена, чтобы усыпить бдительность адресатов) и ярлык файла с малварью.
Клик на этот ярлык приводил к загрузке вредоноса и его установке на компьютер жертвы. Одновременно с этим открывался нечеткий PDF-файл, который якобы и содержал информацию о плагиате.
В отчете компании отмечается, что финальный фрагмент вредоносного кода включал в себя легальный коммерческий инструмент для редтиминга Tuoni, который часто используется компаниями для тестирования уровня защищенности собственной инфраструктуры. Злоумышленники получали с его помощью удаленный доступ к устройствам жертв и проводили дальнейшие действия внутри сети.
Аналитики отмечают, что атакующие применяли несколько слоев защиты от анализа. К примеру, для закрепления в системе использовалась техника COM Hijacking — малварь прописывалась в ключ реестра HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32. Эту же технику группа применяла в весенних атаках.
Кроме того, эксперты пишут, что атакующие тщательно подготовили свою онлайн-инфраструктуру. Они разместили свои серверы управления в облачной сети Fastly, показывали жертвам разные сообщения в зависимости от используемой ОС и могли ограничивать повторные загрузки файла, чтобы затруднить анализ.
На сайте, имитировавшем реальный сайт электронной библиотеки (в настоящее время заблокирован), были найдены следы, указывающие на то, что ресурс работал как минимум с декабря 2024 года. То есть атаку готовили много месяцев.
«Ученые часто становятся мишенью для злоумышленников, особенно если указывают контакты для связи в открытых источниках. Фишинговые письма с обвинениями в плагиате могут вызвать тревогу у получателей из академической среды, поэтому риск угодить в такую ловушку высок. Чтобы не стать жертвой подобной атаки, необходимо установить защитное ПО на всех личных устройствах и внимательно перепроверять источники писем, прежде чем открывать вложения и переходить по ссылкам из них», — предупреждает Георгий Кучерин, эксперт Глобального центра исследования и анализа угроз (Kaspersky GReAT).
Эксперты отмечают снижение сложности атак группы «Форумный тролль». Если весной текущего года злоумышленники использовали цепочку 0-day эксплоитов, то осенью уже полностью полагались на социальную инженерию и более распространенные инструменты вроде Tuoni. Однако подчеркивается, что группа остается активной с 2022 года и продолжает атаковать цели в России и Беларуси.
