В октябре 2025 года эксперты Kaspersky GReAT зафиксировали новую волну целевых атак группировки «Форумный тролль», впервые обнаруженной весной того же года. На этот раз под удар попали политологи, специалисты по международным отношениям и экономисты из российских вузов и научных институтов. Им рассылали поддельные уведомления о проверке научных работ на плагиат.
Фишинговые письма отправлялись с адреса support@e-library[.]wiki — домена, имитировавшего официальный портал elibrary.ru. В сообщениях содержалась ссылка на «отчёт», якобы объясняющий основания для проверки. После перехода пользователь скачивал ZIP-архив с именем получателя. Внутри находились папка с изображениями для маскировки и ярлык, запускавший вредоносное ПО. Параллельно открывался размытый PDF-файл, создававший видимость официального документа.
Вредонос закреплялся в системе и сохранял работоспособность после перезагрузки. В финальной стадии атаки злоумышленники использовали легальный коммерческий инструмент Tuoni, предназначенный для тестирования безопасности. С его помощью они получали удалённый доступ к устройствам и разворачивали дальнейшую активность внутри сети.
Инфраструктура атаки была подготовлена заранее. Серверы управления размещались в облаке Fastly, поведение сайта менялось в зависимости от операционной системы, а повторные загрузки ограничивались для усложнения анализа. Следы указывают, что поддельный сайт электронной библиотеки функционировал как минимум с декабря 2024 года. На данный момент ресурс заблокирован.
В Kaspersky отмечают, что академическая среда остаётся привлекательной целью для фишинга: обвинения в плагиате вызывают стресс и снижают критичность восприятия. Эксперты рекомендуют использовать защитное ПО и тщательно проверять источники писем и вложений. По оценкам компании, группа «Форумный тролль» атакует цели в России и Беларуси не менее трёх лет.
