عامل تهدید مرتبط با Operation ForumTroll به مجموعهای جدیدی از حملات فیشینگ در روسیه نسبت داده شده است.
کسپرسکی گفت: حملات سایبری این عامل تهدید ناشناخته در کمپین اکتبر 2025 بر افراد خاص و محققان حوزه علوم سیاسی، روابط بینالملل و اقتصاد جهانی شاغل در دانشگاهها و مؤسسات تحقیقاتی بزرگ روسی و در بهار بر سازمانها متمرکز بود. عملیات ForumTroll مجموعهای از حملات فیشینگ پیچیده با اکسپلویت از آسیبپذیری روز صفر در گوگل کروم (CVE-2025-2783) جهت ارائه دربپشتی LeetAgent و ایمپلنت جاسوسی معروف به Dante است. موج جدید حمله همچنین با ایمیلهایی آغاز میشود که ادعا میشود از کتابخانه الکترونیکی علمی روسی (eLibrary) ارسال شدهاند. این ایمیلهای شخصیسازیشده، اهداف را برای دانلود گزارش سرقت ادبی، به کلیک روی لینک جاسازی شدهای که به سایت مخرب هدایت میشود، وادار میکنند. افزون بر این، لینکهای مذکور برای استفاده یکباره طراحی شدهاند و در صورتی که دانلود از پلتفرمی غیر از ویندوز انجام شود، از کاربر خواسته میشود که روی رایانه ویندوزی دوباره امتحان کند. ForumTroll حداقل از سال 2022 سازمانها و افراد را در روسیه و بلاروس هدف قرار داده است.
همزمان، Positive Technologies نیز فعالیتهای گروه هکری چینی QuietCrabs (یا UTA0178، UNC5221) و Thor که به نظر میرسد از می 2025 در حملات باجافزاری دست داشته است، را به تفصیل تصریح کرده است. شواهد نشان داد که مجموعههای نفوذ از نقصهای امنیتی Microsoft SharePoint (CVE-2025-53770), Ivanti Endpoint Manager Mobile (CVE-2025-4427 و CVE-2025-4428), Ivanti Connect Secure (CVE-2024-21887), and Ivanti Sentry (CVE-2023-38035) استفاده میکنند. حملات انجام شده توسط QuietCrabs از دسترسی اولیه برای استقرار وبشل ASPX استفاده میکنند و از آن برای ارائه لودر JSP که قادر به دانلود و اجرای KrustyLoader است استفاده میکنند، که سپس ایمپلنت Sliver را اجرا میکند. نفوذگران به عنوان آخرین پیلودها از باجافزارهای LockBit و Babuk و همچنین Tactical RMM و MeshAgent برای حفظ پایداری استفاده میکنند.
https://securelist.com/operation-forumtroll-new-targeted-campaign/118492
/https://thehackernews.com/2025/12/new-forumtroll-phishing-attacks-target.html
