FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

一个名为"Forum Troll"的高级持续性威胁（APT）组织已将攻击目标从企业网络转向学术精英，针对俄罗斯政治学家和经济学家发起精准钓鱼攻击。卡巴斯基实验室最新报告详细记录了该组织在2025年10月的活动，揭示其战术已从0Day漏洞利用转向高度个性化的社会工程攻击。

从技术漏洞到心理操控的战术转变

该组织在春季攻击中因利用Google Chrome漏洞（CVE-2025-2783）而登上头条，而秋季攻势则采用了更复杂的心理战术。攻击者伪装成知名科学电子图书馆eLibrary，诱骗学者下载所谓的"剽窃报告"。与春季攻击针对组织机构不同，秋季行动专门锁定俄罗斯重点高校和研究机构中研究政治学、国际关系与全球经济的知名学者。

精心设计的钓鱼陷阱

受害者收到的邮件来自预先注册的伪造域名support@e-library[.]wiki，邮件敦促他们下载报告。诱饵设计极为精细：恶意链接会下载以受害者全名命名的压缩包（如<姓氏><名字><父称>.zip）。卡巴斯基研究人员指出："攻击者在发送钓鱼邮件前做足了功课。"

恶意压缩包包含伪装成文档的快捷方式文件(.lnk)和隐藏的.Thumbs目录，后者存放了近100个无关图片文件。"这些图片在感染过程中并未使用，可能是为了让压缩包看起来更可信。"

多阶段感染链与持久化机制

用户点击快捷方式后，PowerShell脚本会启动多阶段感染链：连接命令控制服务器获取DLL载荷，将其保存至本地iconcache目录。为确保恶意软件在系统重启后仍能运行，攻击者采用COM劫持技术，将恶意DLL路径写入特定注册表项。

使用商业红队工具Tuoni框架

与以往使用"Dante"等定制间谍软件不同，本次攻击使用了知名的商业红队框架Tuoni。该框架使攻击者能远程控制受感染设备，窃取敏感研究数据或进一步渗透大学网络。为掩盖入侵行为，恶意软件会自动下载并打开模糊处理的剽窃报告PDF作为诱饵。

严密的反分析措施

攻击者实施了严格的操作安全措施：恶意下载链接设置为一次性使用，研究人员二次访问时会显示错误信息；服务器还过滤非Windows设备，提示用户切换至易受攻击的机器。

卡巴斯基实验室警告称，Forum Troll组织自2022年起持续针对俄罗斯和白俄罗斯的机构与个人，未来很可能继续对该地区高价值目标实施间谍活动。

参考来源：

Academic Ambush: How the Forum Troll APT Hijacks Scholars’ Systems via Fake Plagiarism Reports

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）