Khám phá Chiến dịch ForumTroll mới: Khi các nhà khoa học chính trị Nga bị nhắm mục tiêu bằng báo cáo kiểm tra đạo văn

Vào tháng 3/2025, Kaspersky đã phát hiện Chiến dịch ForumTroll - với một chuỗi các cuộc tấn công mạng tinh vi khai thác lỗ hổng CVE-2025-2783 trong Google Chrome. Hãng bảo mật cũng từng mô tả chi tiết các phần mềm độc hại được sử dụng trong chiến dịch này, bao gồm backdoor LeetAgent và phần mềm gián điệp Dante, được phát triển bởi Memento Labs (trước đây là Hacking Team). Tuy nhiên, những kẻ tấn công đứng sau các cuộc tấn công không dừng lại ở các hành động đó và tiếp tục lây nhiễm các mục tiêu tại Nga. Bài báo sẽ cùng phân tích và tìm hiểu chi tiết hơn về hoạt động chiến dịch mới nhất của ForumTroll, dựa trên báo cáo của Kaspersky.

Email giả mạo thư viện khoa học

Vào tháng 10/2025, các nhà nghiên cứu phát hiện một chiến dịch tấn công lừa đảo có chủ đích mới do nhóm ForumTroll thực hiện. Tuy nhiên, khác với các cuộc tấn công vào đầu năm tập trung vào các tổ chức, chiến dịch mới đây lại nhắm vào các cá nhân cụ thể: các học giả trong lĩnh vực khoa học chính trị, quan hệ quốc tế và kinh tế toàn cầu, làm việc tại các trường đại học và viện nghiên cứu lớn của Nga.

Các email mà nạn nhân nhận được gửi từ cùng một địa chỉ: support@e-library[.]wiki. Chiến dịch mới giả mạo thư viện điện tử khoa học eLibrary, có trang web chính thức là elibrary.ru. Email lừa đảo chứa một liên kết độc hại có định dạng: https://e-library[.]wiki/elib/wiki.php?id=<8 pseudorandom letters and digits. Người nhận được yêu cầu nhấp vào liên kết để tải xuống báo cáo kiểm tra đạo văn. Hành động này sẽ âm thầm kích hoạt quá trình tải xuống một tệp lưu trữ. Tên tệp được cá nhân hóa, sử dụng chính tên của nạn nhân có định dạng: [họ tên>_.zip.

Sự chuẩn bị kỹ lưỡng

Những kẻ tấn công đã chuẩn bị kỹ lưỡng trước khi gửi các email lừa đảo. Tên miền độc hại e-library[.]wiki đăng ký từ tháng 3/2025, hơn sáu tháng trước khi chiến dịch mới bắt đầu. Điều này có thể thực hiện nhằm xây dựng uy tín cho tên miền, vì việc gửi email từ một tên miền đáng ngờ, mới đăng ký là một dấu hiệu cảnh báo nghiêm trọng đối với các bộ lọc thư rác.

Hơn nữa, các tin tặc đặt một bản sao trang chủ thư viện điện tử eLibrary hợp pháp lên trang web https://e-library[.]wiki. Theo thông tin trên trang này, chúng đã truy cập vào trang web hợp pháp từ địa chỉ IP 193[.]65[.]18[.]14 vào tháng 12/2024.

Hình 1. Ảnh chụp màn hình các thành phần của trang web độc hại hiển thị địa chỉ IP và ngày bắt đầu phiên truy cập

Những kẻ tấn công cũng đã cá nhân hóa các email lừa đảo cho mục tiêu của chúng, cụ thể là các chuyên gia trong lĩnh vực đó. Như đã đề cập, tệp lưu trữ tải xuống được đặt tên theo họ tên của nạn nhân.

Một kỹ thuật đáng chú ý khác là nỗ lực của tin tặc nhằm cản trở việc phân tích bảo mật bằng cách hạn chế việc tải xuống nhiều lần. Khi các nhà nghiên cứu cố gắng tải xuống tệp lưu trữ từ trang web độc hại, họ nhận được một thông báo bằng tiếng Nga, cho biết liên kết đó có thể chỉ sử dụng được một lần:

Hình 2. Thông báo hiển thị khi các nhà nghiên cứu tải xuống tệp lưu trữ

Qua điều tra, Kaspersky phát hiện ra rằng trang web độc hại hiển thị một thông báo khác nếu người dùng tải xuống từ thiết bị không phải Windows. Trong trường hợp như vậy, nó sẽ yêu cầu người dùng thử lại từ máy tính chạy hệ điều hành Windows.

Hình 3. Thông báo xuất hiện khi tải xuống tệp lưu trữ từ một hệ điều hành không phải Windows

Tệp lưu trữ độc hại

Các tệp tin độc hại được tải xuống qua các liên kết trong email chứa nội dung sau:

- Một tệp tin shortcut độc hại đặt theo tên nạn nhân: _.lnk.

- Một thư mục .Thumbs chứa khoảng 100 tệp hình ảnh bằng tiếng Nga. Những hình ảnh này không được sử dụng trong quá trình lây nhiễm và có thể được thêm vào để làm cho các tệp lưu trữ trông ít đáng ngờ hơn đối với các giải pháp bảo mật.

Hình 4. Một phần nội dung thư mục .Thumbs

Khi người dùng nhấp vào shortcut, một script PowerShell sẽ được chạy. Mục đích chính của script này là tải xuống và thực thi một payload từ một máy chủ độc hại.

Hình 5. Script được khởi chạy bằng cách click shortcut

Sau đó, phần mềm độc hại tải xuống đã thực hiện các hành động sau:

- Liên hệ với một URL có định dạng: https://e-library[.]wiki/elib/query.php?id=<8 pseudorandom letters and digits>&key=<32 hexadecimal characters> để lấy payload cuối cùng là một tệp DLL.

- Lưu tệp đã tải xuống vào %localappdata%\Microsoft\Windows\Explorer\iconcache_<4 pseudorandom digits>.dll.

- Các tin tặc thiết lập khả năng duy trì hoạt động của payload bằng cách sử dụng kỹ thuật chiếm quyền điều khiển COM (COM Hijacking). Điều này bao gồm việc ghi đường dẫn đến tệp DLL vào registry: HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32. Đáng chú ý, nhóm tin tặc cũng từng sử dụng kỹ thuật tương tự trong các cuộc tấn công vào đầu năm của chúng.

- Tải xuống một tệp PDF giả mạo từ một URL có định dạng: https://e-library[.]wiki/pdf/<8 pseudorandom letters and digits>.pdf. Tệp PDF này đã được lưu vào thư mục Download của người dùng với tên tệp có định dạng: _.pdf và sau đó được mở tự động.

Tệp PDF giả mạo đó không chứa bất kỳ thông tin có giá trị nào, nó chỉ đơn thuần là một báo cáo hiển thị được làm mờ, tạo ra bởi một hệ thống kiểm tra đạo văn của Nga.

Hình 6. Tệp bị làm mờ

Tại thời điểm phân tích, các liên kết để tải xuống các payload cuối cùng không hoạt động. Khi cố gắng truy cập, các nhà nghiên cứu nhận được các thông báo lỗi bằng tiếng Anh: “You are already blocked…” hoặc “You have been bad ended” (sic). Điều này có thể cho thấy rằng, việc sử dụng một cơ chế bảo vệ để ngăn chặn việc tải xuống payload nhiều hơn một lần. Mặc dù vậy, Kaspersky vẫn thu thập và phân tích được payload cuối cùng.

Payload cuối cùng: Framework Tuoni

Tệp DLL được triển khai đến các thiết bị bị nhiễm thực ra là một trình tải (loader) mã hóa bằng OLLVM, mà Kaspersky đã từng mô tả trong báo cáo trước đây về Chiến dịch ForumTroll. Tuy nhiên, trong khi trình tải này từng phân phối các phần mềm độc hại ít biết đến như LeetAgent và Dante, lần này những kẻ tấn công đã chọn một framework phần mềm tấn công mô phỏng (red teaming) thương mại nổi tiếng hơn, đó là Tuoni.

Một phần mã nguồn của Tuoni được công khai trên GitHub. Thông qua triển khai công cụ này, các tin tặc đã có được quyền truy cập từ xa vào thiết bị của nạn nhân cùng với các khả năng khác để xâm nhập hệ thống sâu hơn.

Nhận định và kết luận

Các cuộc tấn công mạng do nhóm APT ForumTroll thực hiện vào đầu năm và mới đây có những điểm tương đồng đáng kể. Trong cả hai chiến dịch, sự lây nhiễm bắt đầu bằng các email lừa đảo có chủ đích, cũng như việc duy trì các phần mềm độc hại được thực hiện bằng kỹ thuật chiếm quyền điều khiển COM và một trình tải để cài đặt mã độc.

Mặc dù có những điểm tương đồng này, chuỗi tấn công vào tháng 10 không thể được coi là tinh vi về mặt kỹ thuật như chiến dịch vào đầu năm. Cụ thể, trong các cuộc tấn công được ghi nhận trước đó, nhóm tin tặc ForumTroll đã khai thác các lỗ hổng bảo mật chưa được vá (zero-day) để lây nhiễm hệ thống. Ngược lại, các cuộc tấn công mới hoàn toàn dựa vào kỹ nghệ xã hội, dựa vào việc nạn nhân không chỉ nhấp vào liên kết độc hại mà còn tải xuống tệp lưu trữ và khởi chạy tệp shortcut. Hơn nữa, phần mềm độc hại được sử dụng trong chiến dịch mới là framework Tuoni, vốn ít được biết đến hơn.

Nhóm ForumTroll nhắm mục tiêu vào các tổ chức và cá nhân ở Nga cũng như Belarus ít nhất từ năm 2022. Với khoảng thời gian dài như vậy, rất có thể nhóm tin tặc này sẽ tiếp tục tấn công vào các thực thể và cá nhân đáng chú ý tại hai quốc gia này. Kaspersky nhận định rằng, việc điều tra các chiến dịch tiềm năng trong tương lai của ForumTroll sẽ cho phép chúng ta làm sáng tỏ các phần mềm độc hại khác được tạo ra bởi các nhà phát triển thương mại.