«Форумный тролль» снова активизировался: в октябре 2025 года обнаружена волна кибератак на российских учёных

В октябре 2025 г. эксперты Kaspersky GReAT обнаружили новую волну целевых кибератак «Форумного тролля». Эта кампания впервые...

В октябре 2025 г. эксперты Kaspersky GReAT обнаружили новую волну целевых кибератак «Форумного тролля». Эта кампания впервые была выявлена в марте 2025 г. благодаря решению Kaspersky Symphony XDR. На этот раз мишенями злоумышленников стали политологи, специалисты по международным отношениям, экономисты ведущих российских вузов и НИИ. Они получали поддельные адресные уведомления о проверке на плагиат.

Как проходили атаки в октябре. Рассылка фишинговых писем производилась с электронного адреса support@e-library[.]wiki. Домен принадлежал сайту, который имитировал официальный российский портал elibrary.ru. В сообщениях находилась ссылка якобы с отчётом, в котором сообщалось, на чём основаны подозрения в плагиате. После нажатия на ссылку открывался ZIP-файл, названный по фамилии получателя. В нём находились папка с обычными изображениями (вероятно, она была добавлена, чтобы усыпить бдительность адресатов) и ярлык файла с вредоносным ПО. Нажатие на ярлык приводило к загрузке зловреда и его установке на компьютер жертвы, то есть вредоносное ПО могло продолжать своё действие даже в случае перезагрузки устройства. Одновременно с этим открывался нечёткий PDF-файл, якобы он и содержал информацию о плагиате.

Детали подготовки. Финальный фрагмент вредоносного кода включал в себя легальный коммерческий инструмент для взлома Tuoni. Компании часто используют его для тестирования уровня защищённости собственной инфраструктуры. Злоумышленники же с его помощью получали удалённый доступ к устройствам жертв и проводили дальнейшие действия внутри сети.

Кроме того, атакующие тщательно подготовили онлайн-инфраструктуру. Они разместили свои серверы управления в облачной сети Fastly, выводили разные сообщения в зависимости от ОС и, похоже, ограничивали повторные загрузки, чтобы затруднить анализ. На сайте, имитировавшем реальный сайт электронной библиотеки, были следы, указывающие на то, что он работал как минимум с декабря 2024 г. Это означает, что кибератаку готовили много месяцев. В настоящий момент сайт заблокирован.

«Учёные часто становятся мишенью для злоумышленников, особенно если указывают контакты для связи в открытых источниках. Фишинговые письма с обвинениями в плагиате могут вызвать тревогу у получателей из академической среды, поэтому риск угодить в такую ловушку высок. Чтобы не стать жертвой подобной атаки, необходимо установить защитное ПО на всех личных устройствах и внимательно перепроверять источники писем, прежде чем открывать вложения и переходить по ссылкам из них», — сказал Георгий Кучерин, эксперт Kaspersky GReAT.

По оценкам Kaspersky GReAT, кибергруппа «Форумный тролль» проявляет интерес к целям в России и Белоруссии как минимум с 2022 г.

«Лаборатория Касперского» рекомендует научным работникам и сотрудникам вузов: с осторожностью относиться к сообщениям с обвинениями в плагиате, особенно если они содержат ссылки на внешние файлообменники; прежде чем открывать вложения или архивы, проверять такие сообщения через официальные каналы; регулярно обновлять операционные системы и браузеры, чтобы снизить риск стать жертвой атаки с использованием уязвимостей нулевого дня; вузам и научно-исследовательским институтам: установить надёжные защитные решения от вендора, эффективность технологий которого подтверждается независимыми тестами, например, из линейки Kaspersky Symphony. Она даёт возможность поэтапно строить всеобъемлющую безопасность, позволяя выбирать уровень решения в зависимости от потребностей учебного заведения и текущего уровня информационной безопасности.

Адрес новости:
https://safe.cnews.ru/news/line/2025-12-17_forumnyj_troll_snova