Una nuova ondata di attacchi di phishing collegata a Operation ForumTroll sta prendendo di mira ricercatori e accademici russi, in particolare studiosi di scienze politiche, relazioni internazionali ed economia globale attivi in grandi università e istituti di ricerca. La campagna, osservata nell’autunno 2025, mostra un livello elevato di preparazione e personalizzazione, con tecniche pensate per aumentare la credibilità del messaggio e ridurre le probabilità di rilevamento.
Il vettore iniziale è una email che si presenta come comunicazione ufficiale di eLibrary, una nota biblioteca scientifica elettronica russa. I messaggi provengono da un dominio ingannevole che imita il brand e che risulta registrato mesi prima dell’avvio delle spedizioni. Questa scelta rientra in una strategia di domain aging, usata spesso per evitare che i filtri antispam e antiphishing segnalino immediatamente un dominio appena creato. Per rafforzare l’inganno, gli attaccanti ospitano anche una copia della homepage legittima del servizio sul dominio malevolo, così da rendere coerente l’esperienza della vittima durante il clic.
Il testo dell’email invita a scaricare un presunto report di plagio tramite un link incorporato. Se il destinatario procede, viene scaricato un archivio ZIP con un nome costruito sul profilo della vittima, includendo cognome, nome e patronimico. Questa personalizzazione è un elemento chiave del phishing mirato, perché aumenta la fiducia e riduce i sospetti. I link sono inoltre monouso: tentativi successivi mostrano un messaggio di errore, mentre chi prova da sistemi non Windows viene invitato a ripetere l’operazione da un computer Windows, segnale di una catena di infezione progettata specificamente per quell’ambiente.
All’interno dello ZIP si trova un collegamento Windows LNK con lo stesso nome. L’esecuzione del file avvia uno script PowerShell che scarica ed esegue un payload PowerShell da un server remoto. La fase successiva prevede il recupero di una DLL finale e la persistenza tramite COM hijacking. Per mantenere bassa la soglia di allarme, viene anche mostrato un PDF esca, così la vittima vede un documento plausibile mentre il malware opera in background. Il payload finale è Tuoni, un framework di comando e controllo che consente accesso remoto al dispositivo Windows compromesso.