Analistas de F6 han documentado una campaña de phishing dirigida atribuida al grupo ComicForm, activa desde mayo–junio de 2025 y aún en curso, que combina correos empresariales falsificados, archivos adjuntos maliciosos y páginas de autenticación clonadas para robar credenciales. La operación distribuye el stealer FormBook y destaca por un detalle atípico: referencias a GIFs de superhéroes incrustadas en el código de los adjuntos, sin impacto funcional en la infección.
Alcance de la campaña: sectores críticos en Rusia, Bielorrusia y Kazajistán
Los envíos han apuntado a finanzas, turismo, biotecnología, I+D y comercio en Rusia, Bielorrusia y Kazajistán. Se observaron remitentes en TLD .ru, .by y .kz, con indicios de cuentas comprometidas y un rasgo recurrente: el uso del encabezado reply-to: rivet_kz@… creado en un servicio gratuito ruso. También circularon mensajes en inglés, un signo de posible expansión fuera de la CEI.
Señuelos y adjuntos: asuntos verosímiles y dobles extensiones
Los correos replican el lenguaje de la gestión documental (“RE: Acta de conciliación”, “Contrato y factura.pdf”, “A la espera de la firma” o “Confirmar contraseña”). Un ejemplo típico: un archivo .rar con nombre de factura que oculta un .exe camuflado con doble extensión. Al ejecutarlo, se desencadena la cadena de infección en el puesto de trabajo.
Cadena técnica: loader .NET → MechMatrix Pro.dll → Montero.dll → FormBook
El ejecutable inicial actúa como loader .NET ofuscado. Este desempaqueta y ejecuta en memoria un módulo de segunda etapa (MechMatrix Pro.dll), que a su vez descifra recursos embebidos en el EXE de origen para cargar Montero.dll, clasificado como dropper. Esta tercera etapa instala y ejecuta el payload (FormBook), y puede establecer persistencia y comunicación con la infraestructura de mando y control, con un claro énfasis en in-memory execution para evadir soluciones basadas en archivos.
Un detalle inusual: GIFs de superhéroes como “ruido visual”
En el código de los adjuntos aparecen enlaces a GIFs animados (por ejemplo, de Batman). Los analistas no han hallado relación con la lógica del ataque; podrían formar parte de un intento de “branding” del actor, distracción o simple relleno para dificultar el análisis estático.
Segundo vector: suplantación de repositorios de documentos
Además de los adjuntos, ComicForm emplea páginas de inicio de sesión falsas que imitan servicios de intercambio de archivos. Las credenciales introducidas se envían a servidores controlados por los atacantes. Esta combinación de stealer más phishing de credenciales maximiza las probabilidades de compromiso de cuentas corporativas.
Actividad reciente e infraestructura en expansión
F6 reporta indicios de intrusión contra una empresa de telecomunicaciones en Kazajistán en junio y un ensanchamiento de la infraestructura operativa a principios de septiembre. Según el equipo de Threat Intelligence, ComicForm opera como mínimo desde abril de 2025 y mantiene actividad sostenida.
Por qué funciona: factor humano y malware listo para usar
FormBook es un stealer ampliamente disponible en el mercado clandestino, con módulos para extraer contraseñas, cookies y datos de autocompletado. El Verizon DBIR 2024 reafirma que el factor humano y el abuso de credenciales siguen entre las vías de acceso inicial más frecuentes, lo que explica la eficacia de campañas con señuelos administrativos plausibles y carga en memoria.
Detección y mitigación: controles técnicos y procesos
- Endurecer el correo: aplicar SPF, DKIM y DMARC en modo reject/quarantine; vigilar encabezados Reply-To anómalos y reescritura de URL.
- Bloqueo de adjuntos de riesgo: impedir la ejecución desde archivos comprimidos y detectar dobles extensiones (p. ej., “.pdf.exe”).
- EDR/NGAV con foco en memoria: detección de .NET reflection, desencriptado de recursos y técnicas de process hollowing/RunPE; uso de sandboxes para análisis previo.
- Acceso y cuentas: MFA, privilegios mínimos y monitoreo de inicios de sesión atípicos y telemetría de navegador.
- Personas y respuesta: formación específica para identificar “temas de negocio” falsos, búsqueda de IOC relacionados con ComicForm en SIEM y ejercicios de phishing con playbooks de IR para stealers.
Las organizaciones en Rusia, Bielorrusia y Kazajistán deberían reforzar filtros de correo, validaciones de adjuntos y capacidades EDR orientadas a actividad en memoria. Detectar temprano, bloquear los puntos de entrada y rotar credenciales expuestas reduce el riesgo de escaladas posteriores. Mantenerse al día con inteligencia de amenazas y ensayar la respuesta operativa marcará la diferencia ante campañas como ComicForm.
