APT-группа ForumTroll возобновила целевые атаки на российских учёных

Атака началась с фишинговых писем, маскирующихся под уведомления от научной электронной библиотеки eLibrary. Злоумышленники использовали домен e-library[.]wiki, зарегистрированный ещё в марте 2025 года. Подобная подготовка, вероятно, была нужна для повышения репутации домена и обхода спам-фильтров. В письмах содержалась персонализированная ссылка для скачивания так называемого отчёта о плагиате. При переходе по ссылке жертва загружала архивный файл, имя которого включало фамилию, имя и отчество получателя.

Архив содержал вредоносный файл ярлыка (LNK) и папку .Thumbs со множеством изображений на русском языке. Эти изображения, судя по всему, не использовались в процессе заражения и были добавлены для маскировки архива от систем безопасности. Запуск ярлыка инициировал выполнение PowerShell-скрипта. Этот скрипт загружал и исполнял основной вредоносный код (payload) с управляемого злоумышленниками сервера.

Загруженный полезный груз выполнял несколько действий. Сначала он обращался к удалённому серверу для получения финальной нагрузки в виде DLL-файла. Этот файл сохранялся в системной папке пользователя. Затем злоумышленники обеспечивали постоянство (persistence) своей вредоносной программы с помощью техники COM Hijacking. Она заключается во внесении пути к вредоносной DLL в системный реестр Windows для автоматического запуска. Важно отметить, что эта же техника применялась группой ForumTroll в весенних атаках.

Для отвлечения внимания жертвы финальный скрипт также загружал и автоматически открывал файл-приманку в формате PDF. Этот документ, якобы отчёт системы проверки на плагиат, не содержал ценной информации и был размытым. На момент расследования ссылки для загрузки основной вредоносной нагрузки были неактивны. При попытке доступа возвращались сообщения об ошибке на английском языке, что указывает на возможный механизм защиты от повторных загрузок.

Финальная вредоносная нагрузка оказалась обфусцированным с помощью OLLVM загрузчиком. Однако в этот раз он доставлял не редкие импланты LeetAgent или Dante, а более известный коммерческий фреймворк для тестирования на проникновение Tuoni. Этот инструмент предоставляет злоумышленникам удалённый доступ к системе жертвы и широкие возможности для дальнейшего compromise. Для связи с командным центром (Command and Control, C2) использовались серверы fastly.net.

Осенняя и весенняя кампании группы ForumTroll имеют заметные сходства. Обе начинались с целевого фишинга, а для обеспечения постоянства использовалась одна и та же техника COM Hijacking. В обеих кампаниях применялся идентичный загрузчик. Тем не менее, осенние атаки можно считать менее технически изощрёнными. Весенняя операция включала эксплуатацию уязвимостей нулевого дня (zero-day). Осенняя же кампания полностью полагалась на социальную инженерию, рассчитывая, что жертвы пройдут цепочку действий: переход по ссылке, открытие архива и запуск ярлыка. Кроме того, использованный осенью фреймворк Tuoni является более распространённым инструментом.

Группа ForumTroll нацелена на организации и частных лиц в России и Беларуси как минимум с 2022 года. Учитывая такой продолжительный срок активности, высока вероятность, что эта APT-группа продолжит свои операции против интересующих её целей в этих странах. Анализ будущих кампаний ForumTroll может пролить свет на деятельность коммерческих разработчиков вредоносного программного обеспечения, как это произошло в случае со шпионским ПО Dante.

Domains

• bus-pod-tenant.global.ssl.fastly.net
• e-library.wiki
• perf-service-clients2.global.ssl.fastly.net
• status-portal-api.global.ssl.fastly.net