De bedreigingsacteur waaraan gekoppeld is Operatie ForumTroll wordt volgens Kaspersky toegeschreven aan een nieuwe reeks phishing-aanvallen gericht op individuen in Rusland.
De Russische cyberbeveiligingsleverancier zei dat hij de nieuwe activiteit in oktober 2025 had gedetecteerd. De oorsprong van de dreigingsactor is momenteel onbekend.
“Terwijl de cyberaanvallen in de lente zich op organisaties concentreerden, richtte de herfstcampagne zich op specifieke individuen: wetenschappers op het gebied van politieke wetenschappen, internationale betrekkingen en mondiale economie, werkzaam bij grote Russische universiteiten en onderzoeksinstellingen”, aldus veiligheidsonderzoeker Georgy Kucherin.
Operatie ForumTroll verwijst naar een reeks geavanceerde phishing-aanvallen waarbij gebruik wordt gemaakt van een toenmalige zero-day kwetsbaarheid in Google Chrome (CVE-2025-2783) om de LeetAgent-achterdeur en een spyware-implantaat bekend als Dante te leveren.
De laatste aanvalsgolf begint ook met e-mails die beweren afkomstig te zijn van eLibrary, een Russische wetenschappelijke elektronische bibliotheek, waarbij de berichten worden verzonden vanaf het adres “support@e-library(.)wiki.” Het domein werd in maart 2025 geregistreerd, zes maanden voor de start van de campagne, wat erop wijst dat de voorbereidingen voor de aanval al enige tijd gaande waren.
Kaspersky zei dat de strategische domeinveroudering werd gedaan om te voorkomen dat er waarschuwingen zouden verschijnen die doorgaans gepaard gaan met het verzenden van e-mails vanaf een nieuw geregistreerd domein. Bovendien hostten de aanvallers ook een kopie van de legitieme eLibrary-startpagina (“elibrary(.)ru”) op het nepdomein om de list in stand te houden.
De e-mails instrueren potentiële doelwitten om op een ingesloten link te klikken die naar de kwaadaardige site verwijst om een plagiaatrapport te downloaden. Mocht een slachtoffer doorgaan, dan wordt er een ZIP-archief met het naampatroon “
Bovendien zijn deze links ontworpen voor eenmalig gebruik, wat betekent dat bij elke volgende poging om naar de URL te navigeren, een bericht in de Russische taal wordt weergegeven met de melding ‘Download mislukt, probeer het later opnieuw’. In het geval dat wordt geprobeerd te downloaden vanaf een ander platform dan Windows, wordt de gebruiker gevraagd “het later opnieuw te proberen op een Windows-computer”.
“De aanvallers personaliseerden de phishing-e-mails ook zorgvuldig voor hun doelwitten, specifieke professionals in het veld”, aldus het bedrijf. “Het gedownloade archief kreeg de achternaam, voornaam en patroniem van het slachtoffer.”
Het archief bevat een Windows-snelkoppeling (LNK) met dezelfde naam, die, wanneer deze wordt uitgevoerd, een PowerShell-script uitvoert om een op PowerShell gebaseerde payload te downloaden en te starten vanaf een externe server. De payload maakt vervolgens contact met een URL om een DLL in de laatste fase op te halen en deze vast te houden met behulp van COM-kaping. Het downloadt ook een lok-PDF en toont deze aan het slachtoffer.
De laatste lading is een command-and-control (C2) en red teaming-framework, bekend als Tuoni, waarmee de bedreigingsactoren op afstand toegang kunnen krijgen tot het Windows-apparaat van het slachtoffer.
“ForumTroll richt zich al sinds 2022 op organisaties en individuen in Rusland en Wit-Rusland”, aldus Kaspersky. “Gezien deze lange tijdlijn is het waarschijnlijk dat deze APT-groep zich zal blijven richten op entiteiten en individuen van belang in deze twee landen.”
De onthulling komt op het moment dat Positive Technologies de activiteiten van twee bedreigingsclusters gedetailleerd heeft beschreven: QuietCrabs – een vermoedelijke Chinese hackgroep die ook wordt gevolgd als UTA0178 en UNC5221 – en Thor, die sinds mei 2025 betrokken lijkt te zijn bij ransomware-aanvallen.
Het is gebleken dat deze inbraaksets misbruik maken van beveiligingsfouten in Microsoft SharePoint (CVE-2025-53770), Ivanti Endpoint Manager Mobile (CVE-2025-4427 en CVE-2025-4428), Ivanti Connect Secure (CVE-2024-21887) en Ivanti Sentry (CVE-2023-38035).
Aanvallen uitgevoerd door QuietCrabs maken gebruik van de initiële toegang om een ASPX-webshell in te zetten en deze te gebruiken om een JSP-lader te leveren die KrustyLoader kan downloaden en uitvoeren, waarna het Sliver-implantaat wordt verwijderd.
“Thor is een dreigingsgroep die voor het eerst werd waargenomen bij aanvallen op Russische bedrijven in 2025”, aldus onderzoekers Alexander Badayev, Klimentiy Galkin en Vladislav Lunin. “Als laatste lading gebruiken de aanvallers de LockBit- en Babuk-ransomware, evenals Tactical RMM en MeshAgent om hun persistentie te behouden.”
