Российские политологи стали жертвами целевого фишинга

С осени 2025 года зафиксированы атаки на физических лиц из сферы политологии, международных отношений и экономики, работающих в российских университетах и научных учреждениях. Как указывается в материале компании «Лаборатории Касперского», целью стала новая волна кампании группировки ForumTroll, получившей ранее известность под названием операции «Форумный тролль».

Злоумышленники рассылали письма с адреса support@e-library[.]wiki, маскируясь под научную электронную библиотеку eLibrary. В письмах содержались персонализированные ссылки для скачивания архивов, названных по ФИО жертвы. Как сообщается, вредоносный домен был зарегистрирован ещё в марте 2025 года, что, вероятно, делалось для повышения его репутации.

В архивах находился вредоносный ярлык (.lnk) и папка с изображениями для маскировки. При открытии ярлыка запускался PowerShell-скрипт, который скачивал и устанавливал финальную полезную нагрузку. По данным исследователей, для её сохранения и запуска использовалась техника COM Hijacking, уже применявшаяся этой группой весной.

Продолжение ниже

Финальной нагрузкой, как следует из анализа, стал обфусцированный загрузчик (ключевой скрытный компонент, который обеспечивает внедрение финального вредоноса), который развернул на скомпрометированные системы коммерческий фреймворк для удаленного доступа Tuoni. При этом, в отличие от весенних атак с использованием уязвимости нулевого дня, осенняя кампания полностью полагалась на методы социальной инженерии.

Также в сообщении отмечается, что ссылки для скачивания вредоносных компонентов были одноразовыми и блокировались при повторном обращении. После установки импланта на устройство жертвы также загружался и открывался PDF-приманка, представлявший собой размытый отчет о плагиате.

Группировка ForumTroll, по имеющимся данным, атакует цели в России и Беларуси как минимум с 2022 года.