Resumo
A Kaspersky GReAT descreve nova onda de phishing direcionado pela operação ForumTroll: e‑mails que simulam relatórios de plágio (eLibrary) descarregam um atalho (.lnk) que inicia um chain PowerShell e instala o framework Tuoni por meio de um loader OLLVM‑ofuscado.
Como a campanha funciona
Os atacantes enviaram mensagens com links para e-library[.]wiki — um domínio registrado meses antes e que replica a home legítima do serviço eLibrary. O link baixa um arquivo ZIP personalizado (nomeado com o nome da vítima). O ZIP contém um atalho .lnk que, quando aberto, executa um script PowerShell responsável por obter um DLL final.
Persistência e payload final
O payload final é um loader OLLVM que grava um DLL em %localappdata%\Microsoft\Windows\Explorer\iconcache_<xxxx>.dll e garante persistência via COM Hijacking (HKCR\\CLSID\\{1f486a52‑3cb1‑48fd‑8f50‑b8dc300d9f9d}\\InProcServer32). Nesta campanha o loader entrega o framework comercial Tuoni (implantado como implant remoto), diferentemente do uso prévio de LeetAgent e Dante na campanha de primavera.
Alvo e diferenciação da campanha anterior
Desta vez os alvos foram indivíduos — cientistas políticos e pesquisadores em universidades russas — com mensagens personalizadas. Em março de 2025 a mesma ameaça explorou CVE‑2025‑2783 para infecções (Operation ForumTroll); a nova série depende exclusivamente de engenharia social e execução de atalho pelo usuário.
Comportamentos observados e recursos de mitigação
- Downloads únicos e segmentação por sistema operativo (links instruíam uso em Windows);
- Uso de arquivos decoy (.pdf) para dissimular a operação e reduzir suspeitas;
- Comunicação com C2 hospedados em domínios da rede fastly.net;
- Persistência por COM Hijacking e uso de loader ofuscado.
Indicadores de compromisso
A Kaspersky publicou os principais IOCs: e-library[.]wiki, perf-service-clients2.global.ssl.fastly[.]net, bus-pod-tenant.global.ssl.fastly[.]net e status-portal-api.global.ssl.fastly[.]net. Equipes de defesa devem priorizar bloqueio e monitoramento desses domínios, além de varredura por registros de COM Hijacking e DLLs suspeitas em %localappdata%.
Impacto e avaliação
Enquanto a campanha de primavera utilizou exploração de zero‑day para comprometer alvos, a retomada de ForumTroll mostra adaptação tática: confiar em técnicas de spear‑phishing e ferramentas comerciais (Tuoni) amplia a superfície de ataque sem necessidade de exploits inéditos. O foco atual é menos técnico porém igualmente eficaz em ambientes com usuários sem treinamento ou políticas de execução restritas.
Recomendações operacionais
- Bloquear e analisar tráfego para os domínios listados e sinalizar downloads únicos de ZIPs ou .lnk recebidos por e‑mail;
- Auditar chaves HKCR\\CLSID para detectar alterações de InProcServer32 e varrer por iconcache_*.dll em perfis de usuário;
- Aplicar políticas de bloqueio de execução para atalhos e scripts não assinados (AppLocker, WDAC) e configurar telemetria de PowerShell em modo de registro ampliado;
- Capacitar usuários apontando para táticas de phishing que usam relatórios personalizáveis e decoys para induzir a execução.
Fonte
Kaspersky GReAT (Securelist)