ComicForm intensifica el phishing en Europa del Este con FormBook y señuelos corporativos

CyberSecureFox 🦊

Analistas de F6 han documentado una campaña de phishing dirigida atribuida al grupo ComicForm, activa desde mayo–junio de 2025 y aún en curso, que combina correos empresariales falsificados, archivos adjuntos maliciosos y páginas de autenticación clonadas para robar credenciales. La operación distribuye el stealer FormBook y destaca por un detalle atípico: referencias a GIFs de superhéroes incrustadas en el código de los adjuntos, sin impacto funcional en la infección.

Alcance de la campaña: sectores críticos en Rusia, Bielorrusia y Kazajistán

Los envíos han apuntado a finanzas, turismo, biotecnología, I+D y comercio en Rusia, Bielorrusia y Kazajistán. Se observaron remitentes en TLD .ru, .by y .kz, con indicios de cuentas comprometidas y un rasgo recurrente: el uso del encabezado reply-to: rivet_kz@… creado en un servicio gratuito ruso. También circularon mensajes en inglés, un signo de posible expansión fuera de la CEI.

Señuelos y adjuntos: asuntos verosímiles y dobles extensiones

Los correos replican el lenguaje de la gestión documental (“RE: Acta de conciliación”, “Contrato y factura.pdf”, “A la espera de la firma” o “Confirmar contraseña”). Un ejemplo típico: un archivo .rar con nombre de factura que oculta un .exe camuflado con doble extensión. Al ejecutarlo, se desencadena la cadena de infección en el puesto de trabajo.

Cadena técnica: loader .NET → MechMatrix Pro.dll → Montero.dll → FormBook

El ejecutable inicial actúa como loader .NET ofuscado. Este desempaqueta y ejecuta en memoria un módulo de segunda etapa (MechMatrix Pro.dll), que a su vez descifra recursos embebidos en el EXE de origen para cargar Montero.dll, clasificado como dropper. Esta tercera etapa instala y ejecuta el payload (FormBook), y puede establecer persistencia y comunicación con la infraestructura de mando y control, con un claro énfasis en in-memory execution para evadir soluciones basadas en archivos.

Un detalle inusual: GIFs de superhéroes como “ruido visual”

En el código de los adjuntos aparecen enlaces a GIFs animados (por ejemplo, de Batman). Los analistas no han hallado relación con la lógica del ataque; podrían formar parte de un intento de “branding” del actor, distracción o simple relleno para dificultar el análisis estático.

Segundo vector: suplantación de repositorios de documentos

Además de los adjuntos, ComicForm emplea páginas de inicio de sesión falsas que imitan servicios de intercambio de archivos. Las credenciales introducidas se envían a servidores controlados por los atacantes. Esta combinación de stealer más phishing de credenciales maximiza las probabilidades de compromiso de cuentas corporativas.

Actividad reciente e infraestructura en expansión

F6 reporta indicios de intrusión contra una empresa de telecomunicaciones en Kazajistán en junio y un ensanchamiento de la infraestructura operativa a principios de septiembre. Según el equipo de Threat Intelligence, ComicForm opera como mínimo desde abril de 2025 y mantiene actividad sostenida.

Por qué funciona: factor humano y malware listo para usar

FormBook es un stealer ampliamente disponible en el mercado clandestino, con módulos para extraer contraseñas, cookies y datos de autocompletado. El Verizon DBIR 2024 reafirma que el factor humano y el abuso de credenciales siguen entre las vías de acceso inicial más frecuentes, lo que explica la eficacia de campañas con señuelos administrativos plausibles y carga en memoria.

Detección y mitigación: controles técnicos y procesos

  • Endurecer el correo: aplicar SPF, DKIM y DMARC en modo reject/quarantine; vigilar encabezados Reply-To anómalos y reescritura de URL.
  • Bloqueo de adjuntos de riesgo: impedir la ejecución desde archivos comprimidos y detectar dobles extensiones (p. ej., “.pdf.exe”).
  • EDR/NGAV con foco en memoria: detección de .NET reflection, desencriptado de recursos y técnicas de process hollowing/RunPE; uso de sandboxes para análisis previo.
  • Acceso y cuentas: MFA, privilegios mínimos y monitoreo de inicios de sesión atípicos y telemetría de navegador.
  • Personas y respuesta: formación específica para identificar “temas de negocio” falsos, búsqueda de IOC relacionados con ComicForm en SIEM y ejercicios de phishing con playbooks de IR para stealers.

Las organizaciones en Rusia, Bielorrusia y Kazajistán deberían reforzar filtros de correo, validaciones de adjuntos y capacidades EDR orientadas a actividad en memoria. Detectar temprano, bloquear los puntos de entrada y rotar credenciales expuestas reduce el riesgo de escaladas posteriores. Mantenerse al día con inteligencia de amenazas y ensayar la respuesta operativa marcará la diferencia ante campañas como ComicForm.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.