El actor de amenazas vinculado a Operación ForoTroll Según Kaspersky, se ha atribuido a una nueva serie de ataques de phishing dirigidos a personas dentro de Rusia.
El proveedor ruso de ciberseguridad dijo que detectó la nueva actividad en octubre de 2025. Actualmente se desconocen los orígenes del actor de la amenaza.
«Mientras que los ciberataques de primavera se centraron en organizaciones, la campaña de otoño se centró en individuos específicos: académicos en el campo de las ciencias políticas, las relaciones internacionales y la economía global, que trabajan en las principales universidades e instituciones de investigación rusas», dijo el investigador de seguridad Georgy Kucherin.
La Operación ForumTroll se refiere a una serie de sofisticados ataques de phishing que aprovechan una vulnerabilidad de día cero en Google Chrome (CVE-2025-2783) para entregar la puerta trasera LeetAgent y un implante de software espía conocido como Dante.
La última ola de ataques también comienza con correos electrónicos que afirmaban ser de eLibrary, una biblioteca electrónica científica rusa, con mensajes enviados desde la dirección «support@e-library(.)wiki». El dominio se registró en marzo de 2025, seis meses antes del inicio de la campaña, lo que sugiere que los preparativos para el ataque ya llevaban algún tiempo en marcha.
Kaspersky dijo que la antigüedad estratégica del dominio se realizó para evitar generar señales de alerta típicamente asociadas con el envío de correos electrónicos desde un dominio recién registrado. Además, los atacantes también alojaron una copia de la página de inicio legítima de eLibrary («elibrary(.)ru») en el dominio falso para mantener el engaño.
Los correos electrónicos indican a los posibles objetivos que hagan clic en un enlace incrustado que apunta al sitio malicioso para descargar un informe de plagio. Si una víctima sigue adelante, se le entregará un archivo ZIP con el patrón de nombres «
Es más, estos enlaces están diseñados para un solo uso, lo que significa que cualquier intento posterior de navegar a la URL hará que se muestre un mensaje en ruso que dice «Error en la descarga, inténtelo de nuevo más tarde». En caso de que se intente realizar la descarga desde una plataforma que no sea Windows, se le pedirá al usuario que «intente nuevamente más tarde en una computadora con Windows».
«Los atacantes también personalizaron cuidadosamente los correos electrónicos de phishing para sus objetivos, profesionales específicos en el campo», dijo la compañía. «El archivo descargado lleva el nombre, el apellido y el patronímico de la víctima».
El archivo contiene un acceso directo de Windows (LNK) con el mismo nombre que, cuando se ejecuta, ejecuta un script de PowerShell para descargar e iniciar una carga útil basada en PowerShell desde un servidor remoto. Luego, la carga útil contacta una URL para recuperar una DLL de etapa final y conservarla mediante el secuestro de COM. También descarga y muestra un PDF señuelo a la víctima.
La carga útil final es un marco de comando y control (C2) y de equipo rojo conocido como Tuoni, que permite a los actores de amenazas obtener acceso remoto al dispositivo Windows de la víctima.
«ForumTroll ha estado apuntando a organizaciones e individuos en Rusia y Bielorrusia desde al menos 2022», dijo Kaspersky. «Dado este largo plazo, es probable que este grupo APT continúe apuntando a entidades e individuos de interés dentro de estos dos países».
La divulgación se produce cuando Positive Technologies detalló las actividades de dos grupos de amenazas, QuietCrabs (un presunto grupo de piratería chino también rastreado como UTA0178 y UNC5221) y Thor, que parece estar involucrado en ataques de ransomware desde mayo de 2025.
Se ha descubierto que estos conjuntos de intrusiones aprovechan fallas de seguridad en Microsoft SharePoint (CVE-2025-53770), Ivanti Endpoint Manager Mobile (CVE-2025-4427 y CVE-2025-4428), Ivanti Connect Secure (CVE-2024-21887) e Ivanti Sentry (CVE-2023-38035).
Los ataques llevados a cabo por QuietCrabs aprovechan el acceso inicial para implementar un shell web ASPX y usarlo para entregar un cargador JSP que es capaz de descargar y ejecutar KrustyLoader, que luego coloca el implante Sliver.
«Thor es un grupo de amenazas observado por primera vez en ataques contra empresas rusas en 2025», dijeron los investigadores Alexander Badayev, Klimentiy Galkin y Vladislav Lunin. «Como cargas útiles finales, los atacantes utilizan LockBit y Babuk ransomware, así como Tactical RMM y MeshAgent para mantener la persistencia».