ForumTroll nhắm vào các học giả người Nga bằng cách sử dụng email giả mạo

[T-X]

Theo Kaspersky, nhóm tin tặc có liên quan đến Chiến dịch ForumTroll được cho là thủ phạm của một loạt các cuộc tấn công lừa đảo mới nhắm vào các cá nhân ở Nga.

Công ty cung cấp giải pháp an ninh mạng của Nga cho biết họ đã phát hiện hoạt động mới này vào tháng 10 năm 2025. Hiện chưa rõ nguồn gốc của kẻ tấn công.

"Trong khi các cuộc tấn công mạng mùa xuân tập trung vào các tổ chức, chiến dịch mùa thu lại nhắm vào các cá nhân cụ thể: các học giả trong lĩnh vực khoa học chính trị, quan hệ quốc tế và kinh tế toàn cầu, làm việc tại các trường đại học và viện nghiên cứu lớn của Nga", nhà nghiên cứu an ninh Georgy Kucherin cho biết.

Chiến dịch ForumTroll đề cập đến một loạt các cuộc tấn công lừa đảo tinh vi khai thác lỗ hổng bảo mật chưa được phát hiện (zero-day) trong Google Chrome (CVE-2025-2783) để phát tán phần mềm cửa hậu LeetAgent và phần mềm gián điệp Dante.

Đợt tấn công mới nhất cũng bắt đầu bằng những email giả mạo là từ eLibrary, một thư viện điện tử khoa học của Nga, với địa chỉ gửi thư là "support@e-library[.]wiki." Tên miền này được đăng ký vào tháng 3 năm 2025, sáu tháng trước khi chiến dịch bắt đầu, cho thấy công tác chuẩn bị cho cuộc tấn công đã được tiến hành từ lâu.

Kaspersky cho biết việc làm cũ tên miền một cách có chủ đích nhằm tránh gây ra bất kỳ nghi ngờ nào thường thấy khi gửi email từ một tên miền mới đăng ký. Ngoài ra, những kẻ tấn công cũng lưu trữ một bản sao của trang chủ thư viện điện tử hợp pháp ("elibrary[.]ru") trên tên miền giả mạo để duy trì chiêu trò.

Các email này hướng dẫn những người bị nhắm mục tiêu nhấp vào một liên kết được nhúng dẫn đến trang web độc hại để tải xuống báo cáo kiểm tra đạo văn. Nếu nạn nhân làm theo hướng dẫn, một tệp lưu trữ ZIP có định dạng đặt tên "<Họ>_<Tên>_<Tên đệm>.zip" sẽ được tải xuống máy tính của họ.

Hơn nữa, các liên kết này được thiết kế để sử dụng một lần, nghĩa là bất kỳ lần truy cập nào sau đó vào URL này đều sẽ hiển thị thông báo bằng tiếng Nga với nội dung "Tải xuống thất bại, vui lòng thử lại sau." Trong trường hợp tải xuống được thực hiện từ một nền tảng khác ngoài Windows, người dùng sẽ được nhắc "thử lại sau trên máy tính Windows."

"Những kẻ tấn công cũng đã cẩn thận cá nhân hóa các email lừa đảo cho mục tiêu của chúng, cụ thể là các chuyên gia trong lĩnh vực đó," công ty cho biết. "Tệp tin tải xuống được đặt tên theo họ, tên và tên đệm của nạn nhân."

Tệp lưu trữ chứa một phím tắt Windows (LNK) có cùng tên, khi được thực thi, sẽ chạy một kịch bản PowerShell để tải xuống và khởi chạy một phần mềm độc hại dựa trên PowerShell từ một máy chủ từ xa. Phần mềm độc hại sau đó liên hệ với một URL để lấy một DLL giai đoạn cuối và duy trì nó bằng cách sử dụng tấn công chiếm quyền điều khiển COM. Nó cũng tải xuống và hiển thị một tệp PDF giả mạo cho nạn nhân.

Phần mềm độc hại cuối cùng là một khung điều khiển và kiểm soát (C2) kiêm tấn công mô phỏng (red teaming) có tên gọi Tuoni, cho phép các tác nhân đe dọa truy cập từ xa vào thiết bị Windows của nạn nhân.

Kaspersky cho biết: "ForumTroll đã nhắm mục tiêu vào các tổ chức và cá nhân ở Nga và Belarus ít nhất từ năm 2022. Với khoảng thời gian dài như vậy, rất có thể nhóm APT này sẽ tiếp tục nhắm mục tiêu vào các thực thể và cá nhân đáng chú ý trong hai quốc gia này."

Thông tin này được tiết lộ khi Positive Technologies công bố chi tiết các hoạt động của hai nhóm tin tặc nguy hiểm, QuietCrabs – một nhóm tin tặc bị nghi ngờ là của Trung Quốc, cũng được theo dõi với tên gọi UTA0178 và UNC5221 – và Thor, nhóm dường như có liên quan đến các cuộc tấn công mã độc tống tiền kể từ tháng 5 năm 2025.

Các bộ công cụ xâm nhập này được phát hiện lợi dụng các lỗ hổng bảo mật trong Microsoft SharePoint ( CVE-2025-53770 ), Ivanti Endpoint Manager Mobile ( CVE-2025-4427 và CVE-2025-4428 ), Ivanti Connect Secure ( CVE-2024-21887 ) và Ivanti Sentry ( CVE-2023-38035 ).

Các cuộc tấn công do QuietCrabs thực hiện lợi dụng quyền truy cập ban đầu để triển khai một web shell ASPX và sử dụng nó để cung cấp một trình tải JSP có khả năng tải xuống và thực thi KrustyLoader, sau đó cài đặt phần mềm độc hại Sliver.

"Thor là một nhóm tin tặc lần đầu tiên được phát hiện trong các cuộc tấn công nhằm vào các công ty Nga vào năm 2025," các nhà nghiên cứu Alexander Badayev, Klimentiy Galkin và Vladislav Lunin cho biết. "Là phần mềm độc hại cuối cùng, tin tặc sử dụng mã độc tống tiền LockBit và Babuk, cũng như Tactical RMM và MeshAgent để duy trì hoạt động."