Las organizaciones en Bielorrusia, Kazajstán y Rusia se han convertido en el objetivo de una campaña de phishing realizada por un reunión de piratería previamente indocumentado llamado Cómic desde al menos abril de 2025.
La actividad se dirigió principalmente a sectores industrial, financiero, turístico, biotecnología, de investigación y comercial, dijo la compañía de seguridad cibernética F6 publicada la semana pasada.
La sujeción de ataque implica mandar correos electrónicos con líneas de asunto como “esperar el documento firmado”, “extracto para el plazo” o “Ley de reconciliación para la firma”, instando a los destinatarios a rasgar un archivo RR, adentro del cual existe un ejecutable de Windows que se pedestal como un documento PDF (eg “, ак_сеи PDF 010.EXE”). Los mensajes, escritos en ruso o inglés, se envían desde direcciones de correo electrónico registradas en los dominios de nivel superior .ru, .by y .KZ.
El ejecutable es un cargador .NET ofuscado diseñado para editar una DLL maliciosa (“MechMatrix Pro.dll”), que seguidamente ejecuta una carga útil de tercera etapa, otra DLL citación “Montero.dll” que sirve como un dosificador para el malware de Formbook, pero no antiguamente de crear una tarea de tarea y configuración de las exclusiones de defensor de microsoft para esquivar la detección.
Curiosamente, incluso se ha antitético que el binario contiene enlaces de Tumblr que apuntan a GIF completamente inofensivos de superhéroes cómicos como Batman, dando su nombre al actor de amenaza. “Estas imágenes no se usaron en ningún ataque, sino que simplemente eran parte del código de malware”, dijo el investigador de F6 Vladislav Kugan.
El examen de la infraestructura de Comicform ha revelado señales de que los correos electrónicos de phishing incluso se han dirigido contra una compañía no especificada que opera en Kazajstán en junio de 2025 y un lado bielorruso en abril de 2025.
F6 incluso dijo que detectó y bloqueó los correos electrónicos de phishing enviados a las empresas de fabricación rusas desde la dirección de correo electrónico de una empresa industrial con sede en Kazajstán tan recientemente como el 25 de julio de 2025. Estos misivos digitales les impulsan a los posibles objetivos a hacer clic en un enlace integrado para confirmar su cuenta y evitar un posible pedrusco.
Los usuarios que hacen clic en el enlace se redirigen a una página de destino falsa que imita la página de inicio de sesión de un servicio de dirección de documentos nacionales para proveer el robo de credenciales al transmitir la información ingresada a un dominio controlado por el atacante en forma de una solicitud posterior a HTTP.
“Adicionalmente, el código JavaScript se encontró en el cuerpo de la página que extrae la dirección de correo electrónico de los parámetros de URL, pobla el campo de entrada con id =” correo electrónico “, extrae el dominio de la dirección de correo electrónico y establece una captura de pantalla del sitio web de ese dominio (a través de la captura de pantalla de captura de pantalla ()) como el fondo de la página de phishing”, explicó Kugan.
El ataque dirigido al lado bielorruso implicó mandar un correo electrónico de phishing con un señuelo temático de extracto para engañar a los usuarios para que ingresen sus direcciones de correo electrónico y números de teléfono en un formulario, que luego se capturan y envían a un dominio foráneo.
“El reunión ataca a las empresas rusas, bielorrusas y kazajas de varios sectores, y el uso de correos electrónicos en inglés sugiere que los atacantes incluso están apuntando a organizaciones en otros países”, dijo F6. “Los atacantes emplean correos electrónicos de phishing que distribuyen malware de Formbook y bienes de phishing disfrazados de servicios web para cosechar credenciales de llegada”.
El reunión pro-ruso se dirige a Corea del Sur con Formbook
La divulgación se produce cuando el equipo de NSHC Threatecon reveló los detalles de un reunión de delitos cibernético pro-ruso que ha dirigido a los sectores de fabricación, energía y semiconductores en Corea del Sur. La actividad se ha atribuido a un clúster llamado sectorJ149 (incluso conocido como UAC-0050).
Los ataques, observados en noviembre de 2024, comenzaron con correos electrónicos de phishing de gancho dirigidos a ejecutivos y empleados que utilizan señuelos relacionados con las compras o solicitudes de cotizaciones de instalaciones de producción, lo que lleva a la ejecución de familias de malware de productos básicos como Lumma Stealer, FormBook y RemCos RAT por medio de un script de Visual Basic distribuido como un ballestero de Microsoft (CAB).
El script de Visual Basic está diseñado para ejecutar un comando PowerShell que se extiende a un repositorio de Bitbucket o GitHub para obtener un archivo de imagen JPG, que oculta un ejecutable de cargadores responsable de editar las cargas efectos finales de robador y ratas.
“El malware PE ejecutado directamente en el campo de acción de memoria es un malware de tipo cargador que descarga datos maliciosos adicionales disfrazados de un archivo de texto (.txt) a través de una URL incluida en los títulos de parámetros proporcionados, lo descifra y luego genera y ejecuta el malware PE”, dijo la compañía de seguridad cibernética singapurense.
“En el pasado, el reunión SectorJ149 operaba principalmente para obtener ganancias financieras, pero las recientes actividades de piratería dirigidas a las empresas coreanas tienen una resistente naturaleza hacktivista, utilizando técnicas de piratería para transmitir mensajes políticos, sociales o ideológicos”.
