El actor de amenazas vinculado a Operación ForoTroll Según Kaspersky, esto se atribuyó a una nueva serie de ataques de phishing dirigidos a personas en Rusia.
El proveedor ruso de ciberseguridad dijo que descubrió la nueva actividad en octubre de 2025. Actualmente se desconoce el origen del actor de la amenaza.
“Mientras que los ciberataques de primavera se centraron en organizaciones, la campaña de otoño se centró en individuos específicos: científicos en el campo de las ciencias políticas, las relaciones internacionales y la economía global que trabajan en las principales universidades e instituciones de investigación rusas”, dijo el investigador de seguridad Georgy Kucherin.
La Operación ForumTroll se refiere a una serie de sofisticados ataques de phishing que explotaron lo que entonces se conocía como una vulnerabilidad de día cero en Google Chrome (CVE-2025-2783) para introducir la puerta trasera LeetAgent y un implante de software espía llamado Dante.
La última ola de ataques también comienza con correos electrónicos que supuestamente provienen de eLibrary, una biblioteca electrónica académica rusa, con mensajes enviados desde la dirección “support@e-library(.)wiki”. El dominio se registró en marzo de 2025, seis meses antes de que comenzara la campaña, lo que indica que los preparativos para el ataque ya llevaban algún tiempo en marcha.
Kaspersky dijo que el envejecimiento estratégico del dominio se llevó a cabo para evitar activar señales de alerta típicamente asociadas con el envío de correos electrónicos desde un dominio recién registrado. Además, los atacantes también alojaron una copia de la página de inicio legítima de eLibrary (“elibrary(.)ru”) en el dominio falso para mantener el truco.
Los correos electrónicos alientan a las víctimas potenciales a hacer clic en un enlace incrustado que apunta al sitio web malicioso para descargar un informe de plagio. En caso de que una víctima consiga pasar, un archivo ZIP con el nombre patrón “
Además, estos enlaces están diseñados para un solo uso, lo que significa que cualquier intento posterior de navegar a la URL generará un mensaje en ruso que dice “Error en la descarga, inténtelo de nuevo más tarde”. Si se intenta la descarga desde una plataforma que no sea Windows, se le pedirá al usuario que vuelva a intentarlo más tarde en una computadora con Windows.
“Los atacantes también personalizaron cuidadosamente los correos electrónicos de phishing para sus objetivos, profesionales específicos en el campo”, dijo la compañía. “El archivo descargado lleva el nombre, el apellido y el patronímico de la víctima”.
El archivo contiene un acceso directo de Windows (LNK) del mismo nombre que, cuando se ejecuta, ejecuta un script de PowerShell para descargar e iniciar una carga útil basada en PowerShell desde un servidor remoto. Luego, la carga útil contacta una URL para recuperar una DLL de etapa final y la conserva mediante el secuestro de COM. También descarga un PDF del señuelo y se lo muestra a la víctima.
La carga útil final es un marco de comando y control (C2) y de equipo rojo llamado Tuoni, que permite a los actores de amenazas obtener acceso remoto al dispositivo Windows de la víctima.
“ForumTroll se ha dirigido a organizaciones e individuos en Rusia y Bielorrusia desde al menos 2022”, dijo Kaspersky. “Dado este largo plazo, es probable que este grupo APT siga apuntando a empresas e individuos interesantes en estos dos países”.
La divulgación se produce cuando Positive Technologies detalla las actividades de dos grupos de amenazas: QuietCrabs, un presunto grupo de piratería chino también rastreado como UTA0178 y UNC5221, y Thor, que parece haber estado involucrado en ataques de ransomware desde mayo de 2025.
Se descubrió que estos conjuntos de intrusiones explotan vulnerabilidades en Microsoft SharePoint (CVE-2025-53770), Ivanti Endpoint Manager Mobile (CVE-2025-4427 y CVE-2025-4428), Ivanti Connect Secure (CVE-2024-21887) e Ivanti Sentry (CVE-2023-38035).
Los ataques llevados a cabo por QuietCrabs explotan el acceso inicial para exponer un shell web ASPX, proporcionando así un cargador JSP que puede descargar y ejecutar KrustyLoader, que luego elimina el implante Sliver.
“Thor es un grupo de amenazas que se observó por primera vez atacando a empresas rusas en 2025”, dijeron los investigadores Alexander Badayev, Klimentiy Galkin y Vladislav Lunin. “Como carga útil final, los atacantes utilizan LockBit y Babuk ransomware, así como Tactical RMM y MeshAgent para mantener la persistencia”.
About The Author
