2025年10月、カスペルスキー研究所の専門家は、ForumTrollグループによるものとされる新たな標的型攻撃の波を発見した。従来のキャンペーンが主に組織を標的としていたのに対し、今回の攻撃では個人――ロシアの主要大学や研究機関に所属する政治学者、国際関係の専門家、経済学者――へと焦点が移っていた。攻撃者は、盗用が発見されたと主張し、受信者に「検証レポート」と称するものをダウンロードするよう促す誘導メールを使用した。
メッセージは support@e-library[.]wiki というアドレスから送信されていた。ドメイン e-library[.]wiki には、正規のeLibraryデジタルライブラリ(本物のサイトは elibrary.ru)のデザインを精巧に模倣した偽サイトがホストされていた。各メールにはレポートにアクセスするための個別リンクが含まれており、クリックすると受信者のフルネームを冠したZIPアーカイブがダウンロードされる仕組みで、標的型かつ「公式」な照会であるかのような印象を強めていた。
アーカイブの中には、ロシア語のタイトルが付いた多数の一般的な画像ファイルを含む .Thumbs というフォルダと、受信者の名前が付いたショートカット(.lnk)ファイルが入っていた。研究者は、アーカイブを不審に見えにくくするための囮として画像が含められていたと考えている。ショートカットを開くとPowerShellスクリプトが実行され、悪意あるペイロードをダウンロードして起動した。同時に囮のPDFも表示されるが、これは盗用チェックシステムの「レポート」をぼかしたもので、実質的に意味のある情報はほとんど含まれておらず、感染を隠す目的だけで用意されていた。
永続化を確立するため、攻撃者はCOMハイジャックの手法を用いた。ダウンロードされたDLLはユーザーのプロファイル内に保存され、再起動後も含めて繰り返し実行されるよう、システムレジストリに登録されたという。報告によれば、最終ペイロードは商用のTuoniフレームワークで、正当にはセキュリティテストに用いられるものだが、ここでは被害者端末へのリモートアクセスを可能にし、その後のネットワーク内活動を実行するために悪用されていた。
カスペルスキー研究所は、攻撃者インフラの周到な準備についても強調している。悪性ドメインは2025年3月という早い段階で登録されており、偽サイト上の痕跡からは、少なくとも2024年12月には準備作業が行われていたことが示唆される。攻撃者は解析を妨げるために繰り返しのダウンロードを制限し、OSに応じて異なるメッセージを表示して、Windowsから再試行するようユーザーを促していた。コマンド&コントロール(C2)サーバーは fastly.net のネットワーク内でホストされていた。公開時点では、この詐欺サイトはすでに閉鎖されていた。
専門家は、ForumTrollが少なくとも2022年以降、ロシアおよびベラルーシの個人を標的にしてきたと推定している。カスペルスキーの研究者ゲオルギー・クチェリンは、学術関係者は連絡先情報が公開されていることが多く特に脆弱であり、盗用を告発するメールは不安を煽って衝動的な行動を引き起こし得ると警告する。リスクを軽減するため、彼はすべてのデバイスにセキュリティソフトを導入し、添付ファイルを開いたりURLをたどったりする前に、送信者とリンクを慎重に確認するよう助言している。
