В конце 2025 года эксперты «Лаборатории Касперского» зафиксировали новую волну целевых кибератак на российских учёных и преподавателей вузов. Злоумышленники использовали доверие к одному из ключевых научных онлайн-ресурсов и психологическое давление, связанное с темой академической репутации.
Учёные получали письма якобы от службы поддержки научной библиотеки с уведомлением о подозрениях в плагиате. Ссылка в письме вела на сайт с доменом, визуально имитирующим официальный портал, включая дизайн и структуру. Такой подход позволял обойти первичное недоверие даже у опытных пользователей.
Ключевым элементом был ZIP-архив, названный фамилией получателя. Внутри находились безобидные изображения и ярлык файла, замаскированный под документ. Пока жертва пыталась открыть размытый PDF-файл с «отчётом», на компьютер устанавливалось вредоносное ПО. Используемый инструмент обеспечивал удалённый доступ к устройству и сохранял устойчивость даже после перезагрузки, что открывало возможности для дальнейшего шпионажа и работы внутри сетей научных организаций.
Атакующие заранее подготовили инфраструктуру: управляющие серверы размещались в облачной среде, контент менялся в зависимости от операционной системы, а повторные загрузки ограничивались для усложнения анализа. Следы активности указывают, что подготовка кампании велась не менее нескольких месяцев.
Представители академической среды особенно уязвимы к атакам мошенников, что связано с наличием большого объема личных данных в открытом доступе.
