### El grupo APT ForumTroll lanza campaña de phishing a politólogos suplantando informes de plagio

#### Introducción

En las últimas semanas, se ha detectado una sofisticada campaña de phishing dirigida a la comunidad académica, concretamente a politólogos y analistas políticos, perpetrada por el grupo de Amenaza Persistente Avanzada (APT) conocido como ForumTroll. La campaña utiliza correos electrónicos maliciosos que simulan ser alertas de informes de plagio, con el objetivo de comprometer los sistemas de los destinatarios e infiltrarse en redes institucionales de alto valor estratégico.

#### Contexto del Incidente

ForumTroll es un actor APT activo desde al menos 2016, con un historial de ataques dirigidos principalmente a sectores gubernamentales, ONGs, think tanks y personal académico involucrado en temáticas de política internacional y seguridad. El grupo, atribuido a intereses estatales del este de Europa, ha adoptado en esta ocasión una táctica de ingeniería social especialmente dirigida a la comunidad de politólogos, aprovechando la sensibilidad del entorno académico ante acusaciones de plagio.

Según telemetría de varios SOC y reportes de inteligencia de amenazas, la campaña se detectó inicialmente a finales de mayo de 2024 y ha mostrado una rápida expansión, afectando a instituciones de Europa Occidental y Estados Unidos. Los mensajes fraudulentos se envían desde direcciones de correo comprometidas o recién registradas que simulan pertenecer a revistas científicas, universidades o entidades regulatorias de ética académica.

#### Detalles Técnicos

Los correos maliciosos contienen archivos adjuntos en formato DOCX o enlaces a servicios de almacenamiento en la nube que, al ser abiertos, desencadenan la descarga de malware. El vector de ataque principal aprovecha macros maliciosas y documentos con exploits dirigidos a vulnerabilidades conocidas de Microsoft Office, en particular:

– **CVE-2023-36884**: Vulnerabilidad de ejecución remota de código en Microsoft Office, ampliamente explotada en campañas recientes y fácilmente integrable en frameworks como Metasploit.
– **CVE-2024-21412**: Falla de bypass de protección de macros, permitiendo la ejecución automática de payloads.
– **Vectores MITRE ATT&CK**: La campaña se alinea con técnicas T1193 (Spearphishing Attachment), T1204 (User Execution), T1059 (Command and Scripting Interpreter) y T1566.001 (Phishing: Spearphishing Attachment).

El payload inicial suele ser un dropper que descarga y ejecuta un backdoor personalizado, característico de ForumTroll, el cual establece comunicación con servidores C2 mediante HTTPs ofuscado. Entre los IOC (Indicadores de Compromiso) destacados se encuentran hashes de archivos, direcciones IP de C2 y patrones de nombre de archivo que imitan informes académicos.

Se han identificado variantes del malware compatible con Cobalt Strike Beacon y módulos de exfiltración de información, orientados al robo de credenciales, documentos y correos electrónicos.

#### Impacto y Riesgos

El impacto potencial de esta campaña es significativo, dado que apunta a actores con acceso a información estratégica y redes con altos requisitos de confidencialidad. Hasta la fecha, se estima que más del 12% de los politólogos consultados en varios países europeos han recibido estos correos, y al menos un 2% ha interactuado con los archivos maliciosos.

El compromiso de cuentas institucionales puede derivar en acceso lateral a sistemas de investigación, filtración de documentos sensibles y ataques de supply chain a redes asociadas. Desde la perspectiva de cumplimiento normativo, una brecha de esta naturaleza puede implicar graves sanciones bajo GDPR y, en el caso de instituciones críticas, la aplicación de NIS2 y su régimen de notificación de incidentes.

#### Medidas de Mitigación y Recomendaciones

Los equipos de seguridad deben reforzar las siguientes medidas:

– Actualización urgente de Microsoft Office a versiones que corrigen CVE-2023-36884 y CVE-2024-21412.
– Desactivación global de la ejecución de macros en correos electrónicos y documentos no verificados.
– Implementación de soluciones EDR con capacidades de detección de comportamiento anómalo.
– Refuerzo de políticas de Zero Trust y segmentación de redes académicas y de investigación.
– Formación continua y simulacros de phishing dirigidos a personal académico y administrativo.
– Revisión de logs, búsqueda proactiva de IOCs y bloqueo de dominios y direcciones IP asociadas a la campaña.

#### Opinión de Expertos

Especialistas en ciberinteligencia, como Elena Sánchez, analista de amenazas en Kaspersky, destacan la capacidad de ForumTroll para adaptar sus TTPs (Tácticas, Técnicas y Procedimientos) a sectores específicos: “La explotación de temáticas sensibles, como el plagio académico, demuestra un profundo conocimiento del entorno objetivo y subraya la importancia de la concienciación en ciberseguridad más allá del personal técnico”.

Por su parte, el coordinador del CERT de una universidad española añade: “La sofisticación de los spear-phishing actuales exige una respuesta coordinada entre los departamentos de IT y los responsables académicos. No basta con tecnologías preventivas; la detección temprana y la respuesta rápida son clave”.

#### Implicaciones para Empresas y Usuarios

Aunque la campaña actual se dirige principalmente al sector académico, existe un riesgo de propagación lateral a organizaciones colaboradoras, think tanks y organismos gubernamentales. Las empresas con vínculos en el ámbito de la investigación política deben revisar sus cadenas de suministro digital y reforzar sus estrategias de gestión de terceros (Third Party Risk Management).

Para los usuarios individuales, el incidente recuerda la importancia de la higiene digital, la verificación de fuentes y el uso de herramientas de seguridad avanzadas en la gestión del correo electrónico.

#### Conclusiones

La campaña de phishing de ForumTroll evidencia una evolución en las amenazas dirigidas contra el ámbito académico, combinando ingeniería social avanzada y exploits técnicos de última generación. La colaboración intersectorial, la actualización tecnológica y la formación del personal resultan esenciales para reducir la superficie de ataque y cumplir con las exigencias regulatorias. La vigilancia proactiva y la respuesta coordinada serán determinantes ante futuros intentos de comprometer la integridad y confidencialidad de la investigación política.

(Fuente: www.kaspersky.com)