ForumTroll APT grubu, Rus akademisyenleri hedef alan karmaşık bir kimlik avı kampanyasıyla yeniden ortaya çıktı; bu, Rusya ve Belarus’taki kuruluşlara karşı devam eden operasyonlarında önemli bir artışa işaret ediyor.
Grup başlangıçta Google Chrome’daki bir sıfır gün güvenlik açığı olan CVE-2025-2783’ü istismar etmesiyle ün kazansa da, son saldırıları yüksek değerli hedefleri tehlikeye atmak için iyileştirilmiş sosyal mühendislik taktiklerine ve ticari kırmızı ekip oluşturma çerçevelerine dayanıyor.
Kaspersky GReAT araştırmacıları yeni kampanyayı Ekim 2025’te, bulgularını Güvenlik Analisti Zirvesi’nde sunmadan sadece birkaç gün önce keşfetti.
Kimlik avı e-postaları, Rus akademisyenler tarafından yaygın olarak kullanılan meşru bir bilimsel elektronik kütüphane olan eLibrary’yi taklit ederek, Rusya’nın önde gelen üniversiteleri ve araştırma kurumlarında siyaset bilimi, uluslararası ilişkiler ve küresel ekonomi alanlarında uzmanlaşmış akademisyenleri hedef alıyordu.
Bu kampanyayı diğerlerinden ayıran özellik, tehdit aktörlerinin gösterdiği titiz hazırlıktır.
Kötü amaçlı etki alanı e-kütüphanesi[.]wiki, kimlik avı e-postalarının gönderilmesinden altı ay önce, alan adı itibarını oluşturmak ve e-posta spam filtrelerini atlatmak için kasıtlı bir strateji olan Mart 2025’te kaydedildi.
Saldırganlar, meşru eLibrary ana sayfasının bir kopyasını bile barındırdı; bu, hedeflerinin tipik iş akışlarının ve güvenilir kaynaklarının kapsamlı bir şekilde keşfedildiğini gösteriyor.
Kampanya boyunca belirgin olan kişiselleştirme, ForumTroll’ün operasyonel disiplinini daha da vurguluyor.
Kimlik avı e-postaları, alıcıların adlarını Soyadı_Ad_Patronimik biçiminde taşıyan indirilen arşivlerle bireysel kurbanlar için özelleştirildi ve bu, muhtemelen ilk güvenlik incelemesini atlayacak bir meşruiyet maskesi oluşturdu.
Teknik Gelişmişlik
Bu kampanyada dağıtılan kötü amaçlı arşivler, güvenlik analizini engellemek üzere tasarlanmış, dikkatle hazırlanmış enfeksiyon zincirleri içeriyordu.
Her kurbanın adını taşıyan kötü amaçlı bir kısayol dosyası, saldırganın altyapısından bir veri indiren bir PowerShell betiğini tetikledi.
Saldırganların, indirme işlemlerini yalnızca Windows ortamlarıyla sınırlayan ve tekrarlanan dosya indirme mekanizmalarını önleyen analiz karşıtı korumalar uyguladığı, güvenlik araştırmacılarının tipik analiz metodolojileri konusunda farkındalık sahibi olduklarını gösteriyor.
Bulaşma süreci, ForumTroll’ün 2025 bahar kampanya metodolojisini kopyalayan bir teknik olan COM Ele Geçirme yoluyla kalıcılık sağladı.
Son yük, OLLVM ile gizlenmiş bir yükleyici, uzaktan erişim ve kapsamlı sistem güvenliğinin aşılması yetenekleri sağlayan, halka açık bir kırmızı ekip oluşturma aracı olan Tuoni çerçevesini konuşlandırdı.
ForumTroll’ün bahar kampanyası sistem güvenliğinin ihlal edilmesi için sıfır gün güvenlik açıklarından yararlanırken, sonbahar saldırıları sosyal mühendisliğe yönelik taktiksel bir dönüm noktasını temsil ediyor.
Bu değişim hesaplı bir yaklaşımı yansıtıyor: Grup, karmaşık istismar zincirlerine güvenmek yerine, kurban katılımını artırmak için güvenilir akademik kaynakları manipüle etmeye odaklandı.
Devam Eden Tehdit Değerlendirmesi
Kampanyanın sahte intihal raporlarını kullanması ve iletişimin hedefe yönelik yapısı, ForumTroll operatörlerinin kurbanlarının mesleki faaliyetleri ve araştırma ilgi alanları hakkında ayrıntılı bilgiye sahip olduklarını gösteriyor.
Bu istihbarat toplama yeteneği, ulus devlet aktörlerinin veya iyi kaynaklara sahip siber suç örgütlerinin potansiyel desteğini gösteriyor.
Kaspersky araştırmacıları, ForumTroll’ün hem sıfır gün açıklarından hem de gelişmiş sosyal mühendislik kampanyalarından yararlanarak Rusya ve Belarus’taki varlıkları ve bireyleri hedeflemeye devam edeceğini düşünüyor.
Grubun en az 2022’den bu yana gösterdiği operasyonel süreklilik, Dante gibi ticari casus yazılım çerçevelerine ve Tuoni gibi kırmızı ekip oluşturma araçlarına erişimle birleştiğinde, onları Doğu Avrupa’daki hassas hedeflere yönelik kalıcı ve gelişen bir tehdit olarak konumlandırıyor.
Kuruluşlar, güvenilir platformlardan gelen iletişimlerin doğrulanmasını vurgulayan güvenlik farkındalığı eğitimine öncelik vermeli, güvenlik ekipleri ise ForumTroll altyapı göstergelerini izlemeli ve güçlü e-posta kimlik doğrulama mekanizmaları uygulamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.