Фейковая eLibrary и вирус в архиве. Группа «Форумный тролль» начала охоту на российских политологов

ForumTroll Форумный тролль фишинг e-library[.]wiki Tuoni COM Hijacking Лаборатория Касперского
Фейковая eLibrary и вирус в архиве. Группа «Форумный тролль» начала охоту на российских политологов
ForumTroll Форумный тролль фишинг e-library[.]wiki Tuoni COM Hijacking Лаборатория Касперского

Тысячи экспертов получили зараженные письма.

image

В октябре 2025 года эксперты «Лаборатории Касперского» обнаружили новую волну целевых атак группы «Форумный тролль» (ForumTroll). Если весной злоумышленники в основном атаковали организации, то в этот раз мишенями стали конкретные люди: политологи, специалисты по международным отношениям и экономисты из ведущих российских вузов и научных учреждений. Приманкой служили письма с уведомлениями о якобы выявленном плагиате и предложением скачать «отчет проверки».

Рассылку вели с адреса support@e-library[.]wiki. Домен e-library[.]wiki использовался для сайта-двойника, который копировал оформление электронной библиотеки eLibrary (реальный сайт: elibrary.ru). В письме находилась персональная ссылка, по которой предлагалось получить отчет, а после перехода на устройство загружался ZIP-архив с названием, составленным из фамилии, имени и отчества получателя. Это усиливало ощущение, что обращение адресное и «официальное».

Внутри архива находились папка .Thumbs с большим набором обычных изображений с русскоязычными названиями и файл-ярлык .lnk, также подписанный данными адресата. По оценке исследователей, изображения могли быть добавлены как отвлекающий элемент, чтобы архив выглядел менее подозрительно. При запуске ярлыка выполнялся PowerShell-скрипт, который скачивал и запускал вредоносную нагрузку. Одновременно открывался PDF-файл-приманка: размытый «отчет» из системы проверки на плагиат, практически не содержащий полезной информации и предназначенный лишь для маскировки заражения.

Для закрепления в системе атакующие применяли технику COM Hijacking. Скачанная DLL сохранялась в профиле пользователя и прописывалась в реестре так, чтобы запускаться повторно, в том числе после перезагрузки. Финальной полезной нагрузкой, говорится в отчете, оказался коммерческий фреймворк Tuoni: в легальных сценариях его используют для тестирования защищенности, но здесь он был задействован для получения удаленного доступа к устройствам жертв и последующих действий внутри сети.

В «Лаборатории Касперского» отдельно отмечают тщательную подготовку инфраструктуры. Домен зарегистрировали еще в марте 2025 года, а на поддельной странице исследователи нашли следы, указывающие на подготовительные работы как минимум с декабря 2024 года. Злоумышленники также ограничивали повторные загрузки, затрудняя анализ, и показывали разные сообщения в зависимости от операционной системы, предлагая повторить попытку с Windows. В качестве серверов управления использовалась инфраструктура в сети fastly.net. На момент публикации отчета поддельный сайт был заблокирован.

По оценкам экспертов, «Форумный тролль» проявляет интерес к целям в России и Беларуси как минимум с 2022 года. Эксперт компании Георгий Кучерин предупреждает, что ученые часто оказываются удобной мишенью из-за публично доступных контактов, а письма с обвинениями в плагиате могут вызвать тревогу и подтолкнуть к необдуманным действиям. Чтобы снизить риск, он рекомендует использовать защитное ПО на всех устройствах и тщательно проверять отправителей и ссылки перед тем, как открывать вложения и переходить по ним.