El actor de amenazas vinculado a Operación ForoTroll Según Kaspersky, se ha atribuido a una nueva serie de ataques de phishing dirigidos a personas dentro de Rusia.
El proveedor ruso de ciberseguridad dijo que detectó la nueva actividad en octubre de 2025. Actualmente se desconocen los orígenes del actor de la amenaza.
«Mientras que los ciberataques de primavera se centraron en organizaciones, la campaña de otoño se centró en individuos específicos: académicos en el campo de las ciencias políticas, las relaciones internacionales y la economía global, que trabajan en las principales universidades e instituciones de investigación rusas», dijo el investigador de seguridad Georgy Kucherin. dicho.
Operación ForoTroll se refiere a una serie de sofisticados ataques de phishing que explotan una vulnerabilidad de día cero en Google Chrome (CVE-2025-2783) para entregar la puerta trasera LeetAgent y un implante de software espía conocido como Dante.
La última ola de ataques también comienza con correos electrónicos que afirmaban ser de eLibrary, una biblioteca electrónica científica rusa, con mensajes enviados desde la dirección «support@e-library».[.]wiki.» El dominio fue registrado en marzo de 2025, seis meses antes del inicio de la campaña, lo que sugiere que los preparativos para el ataque habían estado en marcha durante algún tiempo.
Kaspersky dijo que envejecimiento del dominio estratégico se hizo para evitar generar señales de alerta típicamente asociadas con el envío de correos electrónicos desde un dominio recién registrado. Además, los atacantes también alojaron una copia de la página de inicio legítima de eLibrary («elibrary[.]ru») en el dominio falso para mantener la artimaña.
Los correos electrónicos indican a los posibles objetivos que hagan clic en un enlace incrustado que apunta al sitio malicioso para descargar un informe de plagio. Si una víctima sigue adelante, se le entregará un archivo ZIP con el patrón de nombres «
Es más, estos enlaces están diseñados para un solo uso, lo que significa que cualquier intento posterior de navegar a la URL hará que se muestre un mensaje en ruso que dice «Error en la descarga, inténtelo de nuevo más tarde». En caso de que se intente realizar la descarga desde una plataforma que no sea Windows, se le pedirá al usuario que «intente nuevamente más tarde en una computadora con Windows».
«Los atacantes también personalizaron cuidadosamente los correos electrónicos de phishing para sus objetivos, profesionales específicos en el campo», dijo la compañía. «El archivo descargado lleva el nombre, el apellido y el patronímico de la víctima».
El archivo contiene un acceso directo de Windows (LNK) con el mismo nombre que, cuando se ejecuta, ejecuta un script de PowerShell para descargar e iniciar una carga útil basada en PowerShell desde un servidor remoto. Luego, la carga útil contacta una URL para recuperar una DLL de etapa final y conservarla mediante el secuestro de COM. También descarga y muestra un PDF señuelo a la víctima.
La carga útil final es un marco de comando y control (C2) y de equipo rojo conocido como Tuonípermitiendo a los actores de amenazas obtener acceso remoto al dispositivo Windows de la víctima.
«ForumTroll ha estado apuntando a organizaciones e individuos en Rusia y Bielorrusia desde al menos 2022», dijo Kaspersky. «Dado este largo plazo, es probable que este grupo APT continúe apuntando a entidades e individuos de interés dentro de estos dos países».
La divulgación se produce como Tecnologías Positivas. detallado las actividades de dos grupos de amenazas, Cangrejos tranquilos – un presunto grupo de hackers chino también rastreado como UTA0178 y UNC5221 – y Thorque parece estar involucrado en ataques de ransomware desde mayo de 2025.
Se ha descubierto que estos conjuntos de intrusiones aprovechan las fallas de seguridad en Microsoft SharePoint (CVE-2025-53770), Ivanti Endpoint Manager Móvil (CVE-2025-4427 y CVE-2025-4428), Ivanti Connect Seguro (CVE-2024-21887) e Ivanti Sentry (CVE-2023-38035).
Los ataques llevados a cabo por QuietCrabs aprovechan el acceso inicial para implementar un shell web ASPX y usarlo para entregar un cargador JSP capaz de descargar y ejecutar. KrustyLoaderque luego deja caer el Astilla implante.
«Thor es un grupo de amenazas observado por primera vez en ataques contra empresas rusas en 2025», dijeron los investigadores Alexander Badayev, Klimentiy Galkin y Vladislav Lunin. «Como cargas útiles finales, los atacantes utilizan LockBit y Babuk ransomware, así como Tactical RMM y MeshAgent para mantener la persistencia».
Fuente