文章总结： KasperskyreportsthatAPTgroupForumTrollcontinuestargetingRussianpoliticalscholarsviaphishingemailsmimickingeLibrary.TheattackdeliversaZIPcontainingamaliciousLNKfilethatexecutesaPowerShellscripttodownloadtheTuoniframework.UnliketheSpringcampaignusingaChromezero-day,thisattackreliesonsocialengineeringandCOMhijackingforpersistence.ThisshifttocommercialredteamtoolsindicatesasustainedthreatagainstRussianandBelarusianentitiessince2022,loweringtechnicalcomplexitywhilemaintainingeffectiveaccess. 综合评分： 93 文章分类： 威胁情报,恶意软件,社会工程学,红队,漏洞分析

Operation ForumTroll持续进行：利用剽窃报告锁定俄罗斯政治学者为攻击目标

原创

卡巴斯基

卡巴斯基威胁情报

2026年1月13日 16:39 北京

引言

Introduction

2025年3月，我们发现了Operation ForumTroll，这是一系列利用谷歌Chrome浏览器中CVE-2025-2783漏洞发起的高端网络攻击。此前，我们已详细介绍了该行动中使用的恶意植入程序：由Memento Labs（前身为Hacking Team）开发的LeetAgent后门程序和复杂的间谍软件Dante。然而，此次行动背后的攻击者并未止步于春季的攻击活动，而是持续在俄罗斯联邦境内感染目标系统。

卡巴斯基情报报告服务的客户可获取有关此威胁的更多报告。联系方式：mailto:[email protected]。

伪装成科学图书馆的邮件

2025年10月，就在我们在安全分析师峰会上发布关于ForumTroll APT组织攻击的详细报告前几天，我们检测到了该组织发起的一场新型针对性网络钓鱼攻击活动。不过，春季的网络攻击主要针对组织机构，而此次秋季的攻击活动则将目标锁定为特定个人：来自俄罗斯主要高校和研究机构，从事政治学、国际关系和全球经济领域研究的学者。

受害者收到的邮件发自support@e-library[.]wiki邮箱地址。此次攻击活动伪装成科学电子图书馆eLibrary（其官方网站为elibrary.ru）发送的邮件。这些网络钓鱼邮件中包含一个恶意链接，格式为：https://e-library[.]wiki/elib/wiki.php?id=<8位伪随机字母和数字>。邮件提示收件人点击该链接下载剽窃检测报告。点击该链接后，将触发一个压缩文件的下载。文件名采用个性化设置，格式为：<姓><名><父称>.zip。

一场精心筹备的攻击

攻击者在发送钓鱼邮件前做足了准备。恶意域名e-library[.]wiki早在2025年3月就已完成注册，比邮件攻击活动启动早了六个多月。此举很可能是为了建立该域名的信誉度，因为从可疑的新注册域名发送邮件极易触发垃圾邮件过滤器的警报。

此外，攻击者还在https://e-library[.]wiki上放置了合法eLibrary网站主页的复制页面。根据该页面信息显示，他们曾于2024年12月通过IP地址193.65.18[.]14访问过该合法网站。

显示IP地址及初始会话日期的恶意网站元素截图

攻击者还针对特定领域的专业人士，精心定制了钓鱼邮件。如前所述，下载的压缩包以受害者的姓氏、名字和父名为文件名进行命名。

另一个值得关注的技术手段是，攻击者试图通过限制重复下载来阻碍安全分析。当我们尝试从恶意网站下载该压缩包时，收到了一条俄文提示信息，表明该下载链接可能仅供一次性使用：

我们尝试下载压缩包时显示的提示信息

我们的调查发现，若从非Windows设备尝试下载，恶意网站会显示不同的提示信息，要求用户改用Windows计算机重新尝试。

当我们尝试从非Windows操作系统下载该压缩包时显示的提示信息

恶意压缩包

通过邮件链接下载的恶意压缩包包含以下内容：

• 一个以受害者姓名命名的恶意快捷方式文件：<姓氏><名字><父名>.lnk；

• 一个.Thumbs目录，其中包含约100个以俄语命名的图像文件。这些图像在感染过程中并未被使用，添加它们很可能是为了让压缩包在安全解决方案面前显得不那么可疑。

.Thumbs目录中的部分内容

当用户点击该快捷方式时，会运行一个PowerShell脚本。该脚本的主要目的是从恶意服务器下载并执行一个基于PowerShell的有效载荷。

打开快捷方式后所触发的脚本

下载的恶意载荷随后执行了以下操作：

• 通过如下格式的URL联系服务器以获取最终载荷（一个DLL文件）：https://e-library[.]wiki/elib/query.php?id=<8位伪随机字母和数字>&key=<32位十六进制字符>。
• 将下载的文件保存至%localappdata%\Microsoft\Windows\Explorer\iconcache_<4位伪随机数字>.dll。
• 利用COM劫持技术实现载荷持久化驻留。具体做法是将该DLL文件的路径写入注册表项HKCR\CLSID{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32。值得注意的是，攻击者在春季发动的攻击中也曾使用过相同技术。
• 从如下格式的URL下载诱饵PDF文件：https://e-library[.]wiki/pdf/<8位伪随机字母和数字>.pdf。该PDF文件以<姓氏><名字><父名>.pdf的格式命名，保存至用户下载文件夹，并自动打开。

诱饵PDF文件不包含任何有价值的信息，它只是由俄罗斯某剽窃检测系统生成的一份模糊报告。

下载报告中某一页的截图

在我们展开调查时，用于下载最终载荷的链接已失效。尝试访问这些链接时，会返回英文错误信息：“You are already blocked…”（“你已被阻止……”）或“You have been bad ended”（“操作已被终止”，原文存在语法错误）。这很可能表明攻击者采用了保护机制，防止载荷被多次下载。尽管如此，我们仍成功获取并分析了最终载荷。

最终载荷：Tuoni框架

部署到受感染设备上的动态链接库（DLL）文件被证实是一个经OLLVM混淆处理的加载器，我们在此前关于“论坛巨魔行动”（Operation ForumTroll）的报告中对此已有描述。不过，尽管该加载器此前曾用于投放LeetAgent和Dante等罕见植入程序，但此次攻击者却选择了一个更为知名的商用红队作战框架——Tuoni。Tuoni框架的部分代码已在GitHub上公开。通过部署这一工具，攻击者获得了对受害者设备的远程访问权限，并具备进一步渗透系统的其他能力。

与之前的攻击活动一样，此次攻击者仍使用fastly.net作为命令与控制（C2）服务器。

结  论

Conclusion

2025年春、秋两季，ForumTroll高级持续性威胁（APT）组织发起的网络攻击存在诸多显著相似之处。在这两次攻击活动中，感染过程均始于针对性钓鱼邮件，且恶意植入程序均通过COM劫持技术实现持久驻留。此外，春、秋两季攻击中用于部署植入程序的加载器也相同。

尽管存在这些相似之处，但秋季的系列攻击在技术复杂度上不及春季的攻击活动。春季时，ForumTroll APT组织利用零日漏洞来感染系统。相比之下，秋季的攻击则完全依赖社会工程学手段，不仅寄希望于受害者点击恶意链接，还期望他们下载压缩包并启动快捷方式文件。此外，秋季攻击活动中使用的恶意软件——Tuoni框架，也并不罕见。

至少自2022年起，ForumTroll便一直将俄罗斯和白俄罗斯的组织及个人作为攻击目标。鉴于其攻击活动已持续较长时间，该APT组织很可能继续针对这两个国家内的重要实体和个人展开攻击。我们认为，对ForumTroll未来可能发起的攻击活动展开调查，将有助于我们揭示商业开发者开发的隐蔽恶意植入程序——正如我们此前发现Dante间谍软件那样。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：卡巴斯基威胁情报 卡巴斯基《Operation ForumTroll持续进行：利用剽窃报告锁定俄罗斯政治学者为攻击目标》