ForumTroll APTグループが、高度なフィッシングキャンペーンでロシアの学術関係者を標的として再浮上し、ロシアおよびベラルーシの組織に対する継続的な作戦を大きくエスカレートさせた。
同グループは当初、Google Chromeのゼロデイ脆弱性であるCVE-2025-2783を悪用したことで悪名を得たが、最新の攻勢では、洗練されたソーシャルエンジニアリング手法と商用レッドチーミング・フレームワークを用いて高価値標的を侵害している。
Kaspersky GReATの研究者は、Security Analyst Summitで調査結果を発表するわずか数日前の2025年10月に、この新たなキャンペーンを発見した。
フィッシングメールは、ロシアの学術関係者に広く利用されている正規の科学系電子図書館eLibraryになりすまし、ロシアの主要大学および研究機関に所属する政治学、国際関係、世界経済を専門とする研究者を標的にしていた。
このキャンペーンを際立たせているのは、脅威アクターが示した綿密な準備である。
悪性ドメインe-library[.]wikiは2025年3月に登録されており、フィッシングメール送信の6か月以上前というタイミングは、ドメインの評判を確立しメールのスパムフィルタを回避するための意図的な戦略だった。
攻撃者は正規のeLibraryのホームページの複製までホストしており、標的の典型的な業務フローや信頼するリソースに関する広範な偵察を行っていたことが示されている。
キャンペーン全体に見られるパーソナライズも、ForumTrollの作戦規律をさらに裏付けている。
フィッシングメールは個々の被害者向けにカスタマイズされ、ダウンロードされるアーカイブには「姓_名_父称(LastName_FirstName_Patronymic)」形式で受信者名が付けられていたため、正当性の外観を作り出し、初期のセキュリティ確認をすり抜ける可能性が高かった。
技術的高度化
このキャンペーンで配布された悪性アーカイブには、セキュリティ分析を妨害するよう設計された、慎重に作り込まれた感染チェーンが含まれていた。
各被害者の名前を付けた悪性ショートカットファイルが、攻撃者のインフラからペイロードをダウンロードする PowerShellスクリプトを起動した。
特筆すべき点として、攻撃者はダウンロードをWindows環境のみに制限し、同一ファイルの繰り返しダウンロードを防止するなどのアンチ分析保護を実装しており、セキュリティ研究者の典型的な分析手法を把握していることを示唆している。
感染プロセスはCOMハイジャックによって永続化を確立しており、これはForumTrollの2025年春のキャンペーン手法を踏襲するものだった。
最終ペイロードであるOLLVM難読化ローダーは、公開されているレッドチーミングツールで、リモートアクセスと広範なシステム侵害能力を提供するTuoniフレームワークを展開した。
ForumTrollの春のキャンペーンがシステム侵害にゼロデイ脆弱性を悪用していたのに対し、秋の攻撃はソーシャルエンジニアリングへと戦術的に舵を切っている。
この変化は計算されたアプローチを反映している。すなわち、高度なエクスプロイトチェーンに依存するのではなく、信頼される学術リソースを操作して被害者の関与を促すことに注力したのである。
継続的な脅威評価
おとりの盗用(剽窃)レポートの使用や、通信の標的型という性質は、ForumTrollのオペレーターが被害者の職務上の活動や研究関心について詳細な情報を保有していることを示唆している。
この情報収集能力は、国家主体アクター、または潤沢な資金を持つサイバー犯罪組織からの支援の可能性を示している。
Kasperskyの研究者は、ForumTrollが今後もロシアおよびベラルーシの組織・個人を標的にし、ゼロデイエクスプロイトと高度なソーシャルエンジニアリングキャンペーンの双方を活用し続ける可能性が高いと評価している。
少なくとも2022年以降に示してきた作戦の継続性に加え、Danteのような商用スパイウェア・フレームワークやTuoniのようなレッドチーミングツールへのアクセスを有することから、同グループは東欧における機微な標的に対して、持続的かつ進化する脅威として位置付けられる。
組織は、信頼されたプラットフォームからの連絡の検証を重視したセキュリティ意識向上トレーニングを優先すべきであり、セキュリティチームはForumTrollのインフラ指標を監視するとともに、堅牢なメール認証メカニズムを実装すべきである。
翻訳元: https://gbhackers.com/forumtrol-operation/
