O grupo responsável pela Operation ForumTroll foi identificado como autor de uma nova série de ataques de phishing direcionados a indivíduos na Rússia, revelou a Kaspersky.
A empresa russa de cibersegurança detectou essa atividade inédita em outubro de 2025, embora a origem do grupo ainda seja desconhecida.
Enquanto os ataques realizados na primavera miravam organizações, a campanha de outono teve como alvo acadêmicos das áreas de ciência política, relações internacionais e economia global, vinculados a grandes universidades e institutos de pesquisa russos, explicou o pesquisador de segurança Georgy Kucherin.
A Operation ForumTroll começou com ataques sofisticados de phishing que exploraram uma vulnerabilidade zero-day no Google Chrome (CVE-2025-2783).
Esse exploit permitiu a instalação da backdoor LeetAgent e do spyware Dante.
Na última onda, os ataques se iniciaram com e-mails supostamente enviados pela eLibrary, uma biblioteca eletrônica científica russa, utilizando o endereço "support@e-library[.]wiki".
O domínio falso foi registrado em março de 2025, seis meses antes da campanha, o que indica que os preparativos do ataque foram extensos.
Segundo a Kaspersky, o domínio foi estrategicamente envelhecido para evitar suspeitas comuns a envios de e-mails por domínios recém-registrados.
Além disso, os atacantes hospedaram uma cópia da página legítima da eLibrary ("elibrary[.]ru") no domínio fraudulento, reforçando a credibilidade da mensagem.
Nas mensagens, os alvos são instruídos a clicar em um link que leva ao site malicioso para baixar um relatório de plágio.
Ao acessar esse link, é baixado automaticamente um arquivo ZIP nomeado no formato “Sobrenome_Nome_Patronímico.zip”.
O link é de uso único; acessos posteriores exibem uma mensagem em russo informando: “Download falhou, tente novamente mais tarde”.
Se o download for tentado em sistemas que não sejam Windows, surge a orientação para tentar em um computador com Windows.
A Kaspersky destacou ainda que o phishing foi cuidadosamente personalizado para cada vítima, que são profissionais específicos da área.
O arquivo ZIP contém um atalho do Windows (LNK) com o mesmo nome, que, ao ser executado, dispara um script PowerShell.
Esse script baixa e executa uma payload maliciosa baseada em PowerShell proveniente de um servidor remoto.
O payload conecta-se a uma URL para buscar uma DLL na fase final, que é persistida usando a técnica de COM hijacking.
Simultaneamente, um PDF falso é baixado e exibido para a vítima, reforçando o disfarce.
O componente final é uma framework de comando e controle (C2) e red teaming chamada Tuoni, que permite o controle remoto sobre o dispositivo Windows comprometido.
A Kaspersky reforça que o grupo ForumTroll tem como alvo organizações e indivíduos na Rússia e na Bielorrússia desde pelo menos 2022.
"Dado esse longo histórico, é provável que continuem atacando entidades e pessoas de interesse nesses países", afirmou a empresa.
Na mesma linha, a Positive Technologies divulgou informações sobre dois grupos de ameaça: QuietCrabs — grupo chinês suspeito, também identificado como UTA0178 e UNC5221 — e Thor, que tem atuado com ataques de ransomware desde maio de 2025.
Esses grupos exploram vulnerabilidades em produtos Microsoft SharePoint (
CVE-2025-53770
), Ivanti Endpoint Manager Mobile (
CVE-2025-4427
e
CVE-2025-4428
), Ivanti Connect Secure (CVE-2024-21887) e Ivanti Sentry (
CVE-2023-38035
).
Os ataques do QuietCrabs começam com o acesso inicial para implantar um web shell ASPX, que carrega um loader JSP capaz de executar o KrustyLoader, responsável pela instalação do implante Sliver.
Já o grupo Thor foi detectado principalmente em ataques contra empresas russas em 2025.
Seus payloads finais incluem os ransomwares LockBit e Babuk, além das ferramentas Tactical RMM e MeshAgent para garantir persistência no ambiente comprometido.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...