كشفت شركة “كاسبيرسكي” للأمن السيبراني عن موجة جديدة من الهجمات الإلكترونية التي تستهدف متخصصين في مجالات العلوم السياسية والعلاقات الدولية والاقتصاد العالمي في روسيا، ضمن إطار ما يُعرف بـ “عملية ForumTroll”.
بدأت هذه الهجمات التي رصدتها الشركة في أكتوبر 2025، وتستهدف بشكل خاص أفراداً يعملون في جامعات ومؤسسات بحثية روسية بارزة. تأتي هذه الحملة بعد هجمات سابقة في الربيع الماضي ركزت على المؤسسات.
عملية ForumTroll: تطور الهجمات الإلكترونية
تشير “عملية ForumTroll” إلى سلسلة من الهجمات المتطورة التي تستخدم تقنيات التصيد الاحتيالي، وقد استغلت في السابق ثغرة أمنية (CVE-2025-2783) في متصفح جوجل كروم لتوزيع برامج ضارة مثل “LeetAgent” و”Dante”.
تبدأ الموجة الأخيرة من الهجمات برسائل بريد إلكتروني تبدو وكأنها مرسلة من “eLibrary”، وهي مكتبة علمية روسية إلكترونية، حيث يتم إرسال الرسائل من عنوان “support@e-library[.]wiki”.
يُذكر أن النطاق المستخدم في هذه الرسائل تم تسجيله في مارس 2025، أي قبل ستة أشهر من بدء الحملة، مما يشير إلى أن التحضيرات للهجوم كانت جارية لفترة طويلة. هذا التخطيط الاستراتيجي يهدف إلى تفادي رصد أي مؤشرات غير اعتيادية مرتبطة بالنطاقات المسجلة حديثاً.
استراتيجية التصيد الاحتيالي
لم تكتفِ الجهات المهاجمة بتسجيل النطاق مسبقاً، بل قامت أيضاً بنشر نسخة من صفحة موقع “eLibrary” الرسمية على النطاق المزيف للحفاظ على مصداقية الرسائل. تحمل الرسائل التعليمات للمستهدفين بضرورة النقر على رابط مضمن لقيام بتنزيل تقرير انتحال.
في حال قام الضحية باتباع هذه التعليمات، يتم تنزيل أرشيف مضغوط بصيغة ZIP يحمل اسم الضحية. هذا الأرشيف يحتوي بالفعل على اختصار لنظام ويندوز (LNK) بنفس الاسم. عند تشغيل هذا الاختصار، يتم تنفيذ سكريبت PowerShell يقوم بتحميل وإطلاق حمولة خبيثة من خادم بعيد.
تتيح هذه الحمولة للمهاجمين التحكم عن بعد بأجهزة الضحايا. وتُظهر التحليلات أن الأرشيف يتم تسميته بناءً على الاسم الأول والأوسط والأخير للضحية، مما يزيد من طابع تخصيص الهجوم.
التوسع في الاستهداف والتأثيرات المستقبلية
“عملية ForumTroll” تستهدف منذ عام 2022 على الأقل مؤسسات وأفراداً في روسيا وبيلاروسيا. وبناءً على هذا التاريخ الطويل، يتوقع أن تستمر هذه المجموعة في استهداف الجهات والأفراد ذوي الأهمية في البلدين.
وتأتي هذه المستجدات في ظل قيام شركات أمن سيبراني أخرى بالكشف عن أنشطة مجموعات تهديد أخرى، مثل “QuietCrabs” التي يُشتبه في أنها مجموعة قراصنة صينية، و”Thor” التي يبدو أنها متورطة في هجمات برامج الفدية.
تستغل مجموعات التهديد هذه ثغرات أمنية في أنظمة متنوعة مثل “Microsoft SharePoint” و”Ivanti Endpoint Manager Mobile” و”Ivanti Connect Secure” وغيرها. أما عن الحمولة النهائية التي تستخدمها هذه المجموعات، فتشمل برامج الفدية مثل “LockBit” و”Babuk”، بالإضافة إلى أدوات للتحكم المستمر مثل “Tactical RMM” و”MeshAgent”.
تؤكد هذه التطورات على استمرار التهديدات الإلكترونية المتطورة، وأهمية الوعي الأمني واليقظة المستمرة للأفراد والمؤسسات في مواجهة المخاطر المتغيرة باستمرار في الفضاء الرقمي.