В октябре 2025 года специалисты Kaspersky GReAT зафиксировали очередной этап целенаправленных киберопераций, проводимых группой «Форумный тролль». Данная кампания была первоначально обнаружена в марте того же года с помощью платформы Kaspersky Symphony XDR. На сей раз под удар попали политологи, эксперты в области международных отношений и экономисты из ведущих российских университетов и научно-исследовательских институтов. Им рассылались фальшивые персональные уведомления о якобы проведённой проверке на заимствования.
Ход октябрьских атак. Фишинговые сообщения отправлялись с адреса support@e-library[.]wiki. Этот домен принадлежал ресурсу, копировавшему дизайн официального российского портала elibrary.ru. В письмах содержалась ссылка на предполагаемый отчёт, где излагались основания для обвинений в плагиате. При переходе по ссылке загружался ZIP-архив, названный в честь получателя. Внутри находилась папка с безобидными изображениями (вероятно, для отвлечения внимания) и ярлык, запускающий вредоносную программу. Активация ярлыка приводила к инфицированию системы, позволяя вредоносному коду сохранять активность даже после перезагрузки компьютера. Параллельно открывался размытый PDF-документ, который должен был изображать отчёт о нарушениях.
Технические особенности. Финальная полезная нагрузка включала легальный коммерческий инструмент для пентеста Tuoni. Обычно организации применяют его для оценки безопасности собственных сетей, однако злоумышленники использовали его для получения удалённого доступа к компьютерам жертв и последующего перемещения по их инфраструктуре.
Кроме того, атакующие детально подготовили свою онлайн-инфраструктуру. Они разместили командные серверы в облачной сети Fastly, настраивали различный вывод данных для разных операционных систем и, по-видимому, ограничивали повторные загрузки вредоносных компонентов, чтобы усложнить их исследование. Сайт-подделка, имитировавший электронную библиотеку, имел признаки активности, начиная как минимум с декабря 2024 года, что указывает на многомесячную подготовку атаки. В настоящее время этот ресурс заблокирован.
«Представители научного сообщества нередко оказываются целью для киберпреступников, особенно если их контактные данные доступны публично. Письма с обвинениями в плагиате могут вызвать сильное беспокойство у учёных, повышая вероятность успеха такой атаки. Чтобы обезопасить себя, необходимо использовать надёжное защитное ПО на всех устройствах и всегда тщательно проверять источник любого письма перед открытием вложений или переходом по ссылкам», — отметил Георгий Кучерин, эксперт Kaspersky GReAT.
По данным оценок Kaspersky GReAT, кибергруппировка «Форумный тролль» демонстрирует интерес к целям в России и Беларуси как минимум с 2022 года.
«Лаборатория Касперского» советует представителям научного сообщества и университетов: проявлять бдительность при получении писем с обвинениями в плагиате, в особенности если в них присутствуют ссылки на сторонние файлообменные сервисы; перед открытием любых вложений или архивов перепроверять подобные уведомления через официальные источники; своевременно устанавливать обновления для операционных систем и браузеров, чтобы минимизировать вероятность атаки через уязвимости нулевого дня. Учебным заведениям и научным центрам рекомендуется: внедрять надёжные защитные продукты от поставщика, чья технологическая эффективность верифицирована независимыми испытаниями, такие как решения из платформы Kaspersky Symphony. Данная платформа обеспечивает возможность постепенного построения комплексной системы защиты, позволяя гибко выбирать уровень решения в соответствии с актуальными потребностями вуза и состоянием его информационной безопасности.
