Las organizaciones en Bielorrusia, Kazajstán y Rusia han surgido desde al menos abril de 2025 como objetivos para las campañas de phishing llevados a cabo por grupos de piratería previamente indocumentados llamados Comicform.
La compañía de ciberseguridad F6 se centra principalmente en actividades dirigidas a la industria, finanzas, turismo, biotecnología, investigación y sectores comerciales.
La cadena de ataque enviará un correo electrónico con temas como «Waiting for Firmed Document», «Factura de pago», «Ley de Liquidación de Firma» y alentará a los destinatarios a abrir el archivo RR. Los mensajes escritos en ruso o inglés se enviarán desde direcciones de correo electrónico registradas en los dominios de nivel superior de .ru, .by y .kz.
El ejecutable es un cargador .NET ofuscado diseñado para lanzar un DLL malicioso («Mechmatrix Pro.dll»), luego ejecuta otro DLL llamado «Montero.dll» que actúa como un gotero para el malware del libro de formulario, pero ejecuta otro DLL llamado «Montero.dll» antes de crear una tarea programada y configurar Microsoft Defendions Extection.
Curiosamente, también sabemos que este binario contiene enlaces Tumblr que apuntan a gifs completamente inofensivos de superhéroes de cómics como Batman, dando el nombre a los actores de amenaza. «Estas imágenes no se usaron en los ataques, pero solo eran parte del código de malware», dijo el investigador de F6 Vladislav Kugan.
Un análisis de la infraestructura de Comicform reveló señales de que los correos electrónicos de phishing también estaban siendo dirigidos a empresas no especificadas que operaban en Kazajstán en junio de 2025 y al Banco de Bielorrusia en abril de 2025.
F6 también dijo que detectó y bloqueó los correos electrónicos de phishing enviados a los fabricantes rusos el 25 de julio de 2025 desde la dirección de correo electrónico de la empresa industrial con sede en Kazajstán. Estos maludos digitales han instado a los objetivos futuros a hacer clic en el enlace integrado para verificar sus cuentas y evitar posibles bloques.
Los usuarios que hacen clic en el enlace se redirigen a una página de destino falsa que imita la página de inicio de sesión de los servicios de gestión de documentos nacionales para promover sus credenciales enviando la información ingresada al dominio controlado por el atacante en forma de una solicitud posterior a la publicación HTTP.
«Además, el código JavaScript se encontró en el cuerpo de la página que extrae la dirección de correo electrónico del parámetro de URL, lo ingresa en el campo de entrada con id =» correo electrónico «, extrae el dominio de la dirección de correo electrónico, establece una captura de pantalla del sitio web para ese dominio (a través de capturas de pantalla (.) API de red), como Kugan expulsado), y establece una captura de pantalla de la captura de pantalla del sitio web para ese dominio de captura de pantalla de captura de pantalla), como Kugan expulsó), y establece una captura de pantalla de un sitio web para ese dominio de captura de pantalla de captura de pantalla).
El ataque dirigido a los bancos bielorrusos implica enviar correos electrónicos de phishing con señuelos con temática de facturas, donde los usuarios ingresan su dirección de correo electrónico y número de teléfono en el formulario, capturados y enviados a un dominio externo.
«El grupo ha atacado a empresas en Rusia, Bielorrusia y Kazajas en varios campos, y el uso del correo electrónico inglés sugiere que los atacantes también están apuntando a organizaciones de otros países», dijo F6. «Los atacantes emplean ambos correos electrónicos de phishing que distribuyen el malware de Formbook y los recursos de phishing, así como los recursos de phishing disfrazados de servicios web para cosechar calificaciones de acceso».
El grupo pro-ruso se dirige a Corea con su Formbook
La divulgación se produce cuando el equipo NSHC Thrarrecon revela detalles del grupo cibercriminal pro-Lucia dirigido a los sectores de fabricación, energía y semiconductores de Corea del Sur. Esta actividad se debe a un clúster llamado sectorJ149 (también conocido como UAC-0050).
El ataque observado en noviembre de 2024 comienza con correos electrónicos de phishing de lanza dirigidos a ejecutivos y empleados que utilizan señuelos asociados con la compra o la solicitud de citas para las instalaciones de producción, lo que lleva a la ejecución de familias de malware de productos como Lumma Stealer, Formbook y REMCOS RAT, utilizando scripts Visual Basic distribuidos como archivos de Microsoft Cabinet (Cab).
Visual Basic Script está diseñado para ejecutar comandos de PowerShell que alcanzan un repositorio de Bitbucket o GitHub para recuperar archivos de imagen JPG. Esto oculta el ejecutable del cargador responsable de lanzar la carga útil final de Steeler y RAT.
«El malware PE que se ejecuta directamente en el área de memoria es un malware de tipo cargador que descarga datos maliciosos adicionales que se disfrazan de un archivo de texto (.txt) a través de la URL (.txt) contenida en los valores de parámetros proporcionados, luego lo descifra antes de generar y ejecutar malware PE».
«En el pasado, el grupo SectorJ149 se realizó principalmente para beneficios económicos, pero se cree que las recientes actividades de piratería dirigidas a empresas coreanas tienen la fuerte naturaleza hackitivista de utilizar técnicas de piratería para transmitir mensajes políticos, sociales o ideológicos».
Source link
