Operation ForumTroll: Rus Akademisyenlerini Hedef Alan Phishing Saldırıları
Son dönemde Kaspersky, rus akademik dünyasında önemli bir tehdit olarak beliren Operation ForumTroll adlı phishing saldırıları hakkında bilgiler paylaştı. Ekim 2025’te tespit edilen bu yeni saldırılar, politik bilimler, uluslararası ilişkiler ve küresel ekonomi alanlarında çalışan Rus akademisyenlere odaklanıyor.
Saldırıların Arka Planı
Operation ForumTroll, daha önce hiçbir güvenlik açığı olarak kaydedilmemiş bir zafiyetten yararlanıyor: Google Chrome için CVE-2025-2783. Bu zafiyet aracılığıyla saldırganlar, LeetAgent arka kapısını ve Dante adlı bir casus yazılımı yüklemeyi başarıyorlar. Kaspersky’nin raporuna göre, bahar dönemindeki saldırılar daha çok kuruluşları hedef alırken, sonbahar kampanyası ise belirli bireyleri, yani akademisyenleri hedef alıyor.
Phishing E-postalarının Stratejisi
Bu phishing saldırıları, eLibrary adlı Rus bilimsel elektronik kütüphanesinden geliyormuş gibi görünen e-postalarla başlıyor. E-postalar, “support@e-library[.]wiki” adresinden gönderiliyor ve bu alan adı, saldırının başlamasından altı ay önce, 2025 yılının Mart ayında kayıtlı. Bu da, saldırı hazırlıklarının uzun süre önce başladığını gösteriyor.
Saldırılarda, kurbanların tıklaması için kötü amaçlı bir siteye yönlendiren bir bağlantı içeren e-postalar gönderiliyor. Kurban bağlantıya tıkladığında, kendi adlarıyla adlandırılmış bir ZIP dosyası indiriyor. Bu dosya, çalıştırıldığında, uzaktan bir PowerShell komut dosyası indirip çalıştıran bir Windows kısayolu içeriyor. Sonuç olarak saldırganlar, hedef bilgisayara uzaktan erişim sağlıyor.
Taktikler ve Kayıtlı Alan İsimleri
Kaspersky, saldırganların e-posta gönderdikleri alan adlarını uzun süre önce kaydettiklerini belirtiyor. Bu, taze bir alan adından gelen e-postaların genellikle güvenlik alarmı oluşturması ihtimalini azaltmak için yapılmış bir strateji. Ayrıca, saldırganlar, sahte alan adında gerçek eLibrary ana sayfasının bir kopyasını barındırarak kurbanların güvenini kazanmayı amaçlıyor.
Gelecek Tehditler ve Sonuç
Kaspersky, ForumTroll’un 2022’den itibaren Rusya ve Belarus’taki organizasyonları ve bireyleri hedef aldığını vurguladı. Bu uzun zaman dilimi, APT grubunun bu iki ülkedeki ilgi alanlarına yönelik saldırılarına devam edeceğini gösteriyor. Phishing saldırılarında sıkça kullanılan teknikler ve hedeflenmiş bireylere yönelik kişiselleştirilmiş iletişim, bu tür tehditlerin ciddiyetini artıran faktörler arasında yer alıyor.
Sonuç olarak, akademisyenlerin ve araştırmacıların, e-postalarındaki bağlantılara karşı dikkatli olmaları ve tanımadıkları kaynaklardan gelen iletileri sorgulamaları son derece önemlidir. Siber güvenlik koruma yöntemlerinin artırılması ve kullanıcı bilincinin geliştirilmesi, bu tür saldırıların etkisini azaltmada kritik bir rol oynamaktadır.
