В октябре 2025 года эксперты Kaspersky GReAT зафиксировали новую волну целевых атак кибергруппы «Форумный тролль», впервые выявленной в марте 2025 года. Целями стали политологи, специалисты по международным отношениям и экономисты ведущих российских вузов и научных институтов.
Злоумышленники рассылали фишинговые письма с адреса support@e-library[.]wiki, имитирующего официальный портал elibrary.ru. В письмах содержались ссылки на отчет о якобы обнаруженном плагиате. При переходе по ссылке жертва загружала ZIP-архив, содержащий, помимо безобидных изображений, ярлык с вредоносным ПО. Его активация приводила к установке на устройство зловреда, сохранявшего активность даже после перезагрузки системы. Параллельно открывался нечитаемый PDF-файл, маскирующий истинную цель атаки.
Вредоносный код использовал легальный инструмент для тестирования защищенности Tuoni, что позволяло злоумышленникам получать удаленный доступ к устройствам и продвигаться внутри сетей. Инфраструктура атаки была подготовлена заранее: серверы управления размещались в облаке Fastly, а поддельный сайт электронной библиотеки, согласно данным, функционировал с декабря 2024 года. В настоящее время этот ресурс заблокирован.
Эксперты отмечают, что ученые часто оказываются уязвимыми целями из-за публикации контактов в открытых источниках, а тема плагиата может вызывать у них повышенную тревогу и снижать бдительность. Для защиты рекомендуется использовать специализированное ПО на всех устройствах и тщательно проверять источник любых входящих писем перед открытием вложений или переходом по ссылкам.
По данным Kaspersky GReAT, кибергруппа «Форумный тролль» проявляет активность в отношении целей в России и Беларуси как минимум с 2022 года.