حملة تصيد جديدة تستهدف المستخدمين عبر ثغرة “كروم” الصفرية (Operation ForumTrol)

تتعرض الدوائر الأكاديمية والبحثية في روسيا لحملة تصيّد احتيالي متطورة تستهدف باحثين في العلوم السياسية، بحسب ما كشفت عنه تقارير أمنية. تأتي هذه الحملة في سياق جهود مستمرة من قبل مجموعة تهديدات متقدمة مستمرة تعرف باسم Operation ForumTrol، والتي اشتهرت في وقت سابق باستغلال ثغرات يوم الصفر في متصفحات الويب.

بدأت هذه المجموعة نشاطها الملفت في مارس 2025، حيث استغلت ثغرة CVE-2025-2783 في متصفح جوجل كروم، مما سمح لها بتنفيذ هجمات متقدمة. ومن الجدير بالذكر أن هذه المجموعة قامت سابقًا بنشر برمجيات خبيثة نادرة مثل باب LeetAgent الخلفي وبرنامج Dante للتجسس، وكلاهما من تطوير Memento Labs.

Operation ForumTrol تستهدف الباحثين الروس بحملة تصيّد احتيالي جديدة

تختلف هذه الحملة الأخيرة عن سابقتها التي استهدفت المؤسسات بشكل عام، حيث تركز Operation ForumTrol حالياً على الباحثين الأفراد في مجالات العلوم السياسية والعلاقات الدولية والاقتصاد العالمي. يستهدف هذا الهجوم الأكاديميين العاملين في جامعات ومراكز أبحاث روسية مرموقة.

تعتمد الحملة على رسائل بريد إلكتروني مصممة بعناية فائقة، مرسلة من عنوان support@e-library[.]wiki. يقوم المهاجمون فيها بانتحال صفة مكتبة eLibrary العلمية الإلكترونية الشرعية، بهدف خداع الضحايا.

تتلقى الجهات المستهدفة معلومات تطلب منهم تحميل تقارير حول الانتحال الأدبي، وذلك عبر روابط خبيثة مصممة بشكل يبدو شرعيًا. هذه الروابط، التي غالبًا ما تكون ضمن تنسيق يشبه https://e-library[.]wiki/elib/wiki.php?id=، تحمل في طياتها مخاطر أمنية جسيمة.

عند النقر على هذه الروابط، يتم تنزيل ملفات أرشيفية شخصية تحمل اسم الضحية بالكامل، بصيغة LastName_FirstName_Patronymic.zip. هذه اللمسة الشخصية تزيد من مصداقية الهجوم وتجعل الضحية أقل حذرًا.

تقنيات متقدمة لتجنب الكشف

أظهر المهاجمون جاهزية عالية من خلال تسجيل النطاق الخبيث قبل ستة أشهر من إطلاق الحملة. هذه التقنية، التي تعرف بـ “إشابة النطاق” (domain aging)، تسمح للنطاق ببناء سمعة مع مرور الوقت، مما يجعله أقل عرضة لتصنيفات البريد العشوائي.

إضافة إلى ذلك، قام المهاجمون بنسخ متطابق لصفحة eLibrary الرئيسية، ودمجوا آليات حماية لمنع التنزيلات المتكررة. هذه الإجراءات تهدف إلى إعاقة جهود التحليل الأمني وتصعيب اكتشاف الطبيعة الخبيثة للموقع.

من جانبها، كشفت باحثون في Securelist عن هذه الحملة في أكتوبر 2025، وذلك قبل أيام قليلة من تقديم تقريرهم عن Operation ForumTrol في قمة المحللين الأمنيين. يشير هذا التوقيت إلى دقة الرصد والتحليل الأمني.

كشف التحقيق أن المهاجمين يتبعون أسلوبًا دقيقًا في تخصيص هجماتهم، حيث يقومون ببحث مستفيض عن كل هدف محتمل وتكييف الهجوم ليناسب ملفه الشخصي. هذه الاستراتيجية الموجهة تزيد من فرص النجاح.

حتى أن الموقع الخبيث كان قادرًا على اكتشاف الأجهزة التي لا تعمل بنظام ويندوز، ويوجه المستخدمين لمحاولة الوصول للمحتوى من أجهزة ويندوز. هذا يبرز المستوى التقني العالي الذي تتمتع به العملية.

هذا النهج الموجه، بالتزامن مع تقنيات إشابة النطاق، يؤكد على التزام المجموعة بتجنب الكشف وزيادة معدلات الإصابة الناجحة.

سلسلة العدوى وتقديم الحمولة

تحتوي الأرشيفات الخبيثة على ملف اختصار يحمل اسم الضحية، بالإضافة إلى مجلد .Thumbs يحتوي على حوالي 100 صورة بأسماء روسية. تستخدم هذه الملفات كإلهاء لتجنب إثارة الشكوك.

عندما ينقر المستخدم على ملف الاختصار، يتم تنفيذ سكربت PowerShell الذي يقوم بتنزيل وتشغيل حمولة خبيثة من الخادم. هذه الحمولة تتصل بعد ذلك بمصدر لتلقي ملف DLL، والذي يتم حفظه في مسار محدد داخل نظام التشغيل.

يتم تأسيس استمرارية البرمجية الخبيثة باستخدام تقنية COM Hijacking، من خلال كتابة مسار ملف DLL في سجل النظام. هذه التقنية استخدمها ForumTrol في هجمات سابقة خلال الربيع. وأخيرًا، يتم فتح ملف PDF وهمي كإلهاء، ليضمن بقاء المستخدم متوهمًا بينما يتم نشر حمولة Tuoni، وهي أداة تجريبية تجارية تمنح المهاجمين قدرات وصول عن بعد.