ForumTroll despliega nueva campaña de phishing contra académicos rusos usando correos falsos de eLibrary

El actor de amenazas conocido como ForumTroll ha iniciado una nueva ola de ataques de phishing dirigidos a investigadores, académicos y personal universitario en Rusia. La campaña utiliza correos electrónicos fraudulentos que suplantan notificaciones legítimas del portal académico eLibrary.ru, con el objetivo de robar credenciales y acceder a información sensible vinculada a investigaciones científicas y colaboraciones internacionales.

De acuerdo con analistas de ciberseguridad, los mensajes maliciosos simulan alertas rutinarias como “verificación de cuenta”, “actualización de perfil” o “actividad sospechosa detectada”. Los correos incluyen enlaces que redirigen a sitios web clonados de eLibrary, diseñados para capturar nombres de usuario, contraseñas y, en algunos casos, tokens de autenticación multifactor (MFA).

Infraestructura desechable y evasión de bloqueos

ForumTroll emplea dominios de corta vida útiles —como elibrary-support[.]ru y múltiples variantes con guiones o subdominios— registrados de forma masiva y alojados en proveedores occidentales. Esta estrategia permite evadir bloqueos automáticos y retrasar la detección por parte de sistemas de filtrado de correo y autoridades rusas.

La actividad fue detectada en las últimas semanas y coincide con un aumento de tensiones en el ámbito del ciberespionaje entre Rusia y países occidentales. La selección del sector académico no es casual: eLibrary.ru es el principal repositorio científico del país y concentra millones de usuarios, incluyendo investigadores vinculados a universidades, centros de investigación estratégica y proyectos con financiamiento estatal.

Un actor con historial geopolítico

ForumTroll es conocido por campañas de phishing con motivaciones geopolíticas y ha sido vinculado, desde al menos 2022, a ataques contra funcionarios rusos, periodistas y medios estatales. Diversos analistas atribuyen al grupo afinidades pro-ucranianas o un perfil de actor independiente alineado con intereses occidentales, aunque estas atribuciones siguen siendo objeto de debate.

El uso de plataformas académicas como vector de ataque refleja una evolución en las operaciones de información y espionaje digital, donde el acceso a credenciales no solo permite el robo de datos, sino también la manipulación de investigaciones, la interrupción de proyectos científicos y la vigilancia de redes de colaboración internacional.

Impacto en redes universitarias y recomendaciones

Especialistas en ciberseguridad en Rusia, incluidos analistas de Kaspersky Lab, han advertido que este tipo de campañas representa un riesgo elevado para las redes universitarias, tradicionalmente menos protegidas que los entornos gubernamentales o militares. Una sola cuenta comprometida puede servir como punto de entrada para ataques laterales dentro de infraestructuras académicas.

Entre las recomendaciones emitidas se incluyen la verificación manual de URLs antes de ingresar credenciales, el uso obligatorio de autenticación multifactor, la revisión periódica de accesos y el reporte inmediato de incidentes a las autoridades competentes, como el FSB o Roskomnadzor.

Phishing académico como vector en conflictos híbridos

La campaña pone de relieve la creciente “weaponización” de servicios digitales legítimos en el marco de conflictos híbridos. A diferencia de los ataques directos a infraestructura crítica, el phishing dirigido a comunidades académicas apunta a las élites intelectuales y al capital científico de un país, convirtiendo el correo electrónico y las plataformas de investigación en un nuevo campo de batalla digital.