(https://i.imgur.com/0FsX44m.jpeg)
La ciberseguridad en Europa del Este vuelve a ser noticia tras el descubrimiento de ComicForm, un grupo de hackers previamente indocumentado que desde abril de 2025 ha desplegado una sofisticada campaña de phishing contra organizaciones de Bielorrusia, Rusia y Kazajstán.
Según un análisis publicado por la firma de seguridad F6, los ataques han tenido como objetivo sectores clave de la región, incluyendo el industrial, financiero, turístico, biotecnológico, de investigación y comercial, lo que demuestra una estrategia bien planificada para obtener beneficios tanto financieros como de inteligencia corporativa.
Cómo funciona la campaña de ComicFormEl ataque se inicia con correos electrónicos de phishing cuidadosamente diseñados, enviados desde direcciones con dominios de nivel superior .ru, .by y .kz. Los mensajes incluyen asuntos persuasivos como:
- "Esperando el documento firmado"
- "Invoice para el pago"
- "Acta de reconciliación para la firma"
El objetivo es engañar a los destinatarios para que descarguen un archivo RR que, en realidad, contiene un ejecutable de Windows (.exe) disfrazado como documento PDF (ejemplo: Акт_сверки pdf 010.exe).
Este archivo malicioso funciona como un cargador ofuscado en .NET, que a su vez descarga y ejecuta una DLL llamada "MechMatrix Pro.dll". Esta segunda etapa lanza una tercera carga útil: otra DLL conocida como "Montero.dll", que actúa como dropper del troyano Formbook, uno de los malware más utilizados en campañas de robo de credenciales.
Para evitar ser detectado, el malware configura exclusiones en Microsoft Defender y crea tareas programadas que aseguran su persistencia en el sistema comprometido.
El detalle curioso: superhéroes de cómic en el código maliciosoUn hallazgo curioso en esta operación es que los binarios maliciosos contenían enlaces de Tumblr que apuntaban a GIFs inofensivos de superhéroes de cómics como Batman.
Aunque estas imágenes no se usaron en el ataque, sí dieron nombre al grupo: ComicForm. Según Vladislav Kugan, investigador de F6, "estas imágenes no tienen función práctica, pero reflejan una peculiar firma de los desarrolladores del malware".
Objetivos confirmados: bancos y empresas en Bielorrusia y KazajstánEl análisis de la infraestructura de ComicForm permitió a los investigadores confirmar ataques contra un banco en Bielorrusia (abril de 2025) y una empresa en Kazajstán (junio de 2025).
En otro incidente fechado el 25 de julio de 2025, se detectó que emails falsificados fueron enviados desde la dirección de una empresa industrial en Kazajstán hacia fabricantes rusos. En estos correos, los atacantes pedían confirmar la cuenta en un enlace incrustado para evitar un supuesto bloqueo.
Las víctimas que hacían clic eran redirigidas a un sitio de phishing que imitaba la página de inicio de un servicio de gestión de documentos nacional, con el objetivo de capturar credenciales mediante peticiones HTTP POST hacia un dominio controlado por los atacantes.
Lo más avanzado de esta técnica es que la página falsa contenía código JavaScript personalizado, capaz de:
- Extraer la dirección de correo electrónico desde la URL.
- Autocompletar automáticamente el campo de usuario.
- Tomar el dominio de ese correo y mostrar como fondo de la página una captura de pantalla real del sitio corporativo legítimo, generada a través de la API de screenshotapi[.]net.
Este nivel de personalización hace que los ataques sean mucho más convincentes para las víctimas.
Caso específico: phishing contra un banco bielorrusoEn el caso del banco bielorruso, los hackers enviaron un correo de phishing con temática de facturas que pedía a los empleados introducir correos electrónicos y números de teléfono en un formulario. La información recopilada era enviada de inmediato a un dominio externo controlado por ComicForm, comprometiendo la privacidad y seguridad de la institución financiera.
Objetivos internacionales y expansión de la campañaAunque los ataques iniciales se centraron en Rusia, Bielorrusia y Kazajstán, los investigadores de F6 advirtieron que el uso de correos electrónicos en inglés sugiere que ComicForm busca expandirse a organizaciones en otros países.
El grupo emplea dos métodos principales:
Phishing con distribución de malware Formbook, enfocado en el robo de credenciales y datos sensibles.
- Phishing que imita servicios web legítimos, diseñado para robar directamente credenciales de acceso mediante formularios falsos.
- Conexión con otras campañas: SectorJ149 en Corea del Sur
El descubrimiento de ComicForm coincide con otra revelación de la empresa de ciberseguridad NSHC, que identificó a SectorJ149 (UAC-0050), un grupo prorruso que ha lanzado ataques en Corea del Sur contra los sectores de manufactura, energía y semiconductores.
Estos ataques, detectados en noviembre de 2024, también utilizaron spear-phishing con señuelos de compras y cotizaciones para instalar malware como Lumma Stealer, Formbook y Remcos RAT.
Lo más preocupante es que SectorJ149, anteriormente enfocado en obtener ganancias financieras, ahora parece tener un componente hacktivista, utilizando ataques para transmitir mensajes políticos o ideológicos.
ComicForm y la evolución del phishing en 2025La aparición de ComicForm refleja cómo los ataques de phishing evolucionan constantemente y se vuelven más sofisticados:
- Emplean técnicas avanzadas como la personalización dinámica de páginas de phishing.
- Usan malware probado como Formbook, que se mantiene vigente gracias a su eficacia en robar credenciales.
- Apuntan a sectores estratégicos que pueden generar beneficios económicos y acceso a información crítica.
El descubrimiento de ComicForm y los paralelismos con grupos como SectorJ149 refuerzan la necesidad de que organizaciones en todo el mundo adopten medidas más estrictas de ciberseguridad, incluyendo:
- Capacitación en concienciación de phishing para empleados.
- Implementación de autenticación multifactor (MFA).
- Monitoreo proactivo de infraestructuras críticas.
- Uso de inteligencia de amenazas para anticipar nuevas campañas.
En 2025, los ataques de phishing no solo buscan datos, sino que representan un riesgo geopolítico y económico de gran alcance.
Fuente: https://thehackernews.com/