Organizaciones de Bielorrusia, Kazajstán y Rusia se han convertido en el objetivo de una campaña de suplantación de identidad llevada a cabo por un grupo de hackers previamente indocumentado llamado Forma cómica al menos desde abril de 2025.
El actividad se dirigió principalmente a los sectores industrial, financiero, turístico, biotecnológico, de investigación y comercial, según dijo la empresa de ciberseguridad F6 en un análisis publicado la semana pasada.
La cadena de ataque consiste en enviar correos electrónicos con un asunto como «Esperando el documento firmado», «Factura para el pago» o «Ley de conciliación para la firma», en los que se insta a los destinatarios a abrir un archivo RR, en el que hay un ejecutable de Windows que se hace pasar por un documento PDF (por ejemplo, «акт_sверереререререс pdf 010.exe «). Los mensajes, escritos en ruso o inglés, se envían desde direcciones de correo electrónico registradas en los dominios de nivel superior .ru, .by y .kz.
El ejecutable es un cargador.NET ofuscado diseñado para lanzar una DLL malintencionada («MechMatrix Pro.dll «), que posteriormente ejecuta una carga útil en la tercera etapa, otra DLL llamada" Montero.dll "que sirve como cuentagotas para Libro de formularios malware, pero no antes de crear una tarea programada y configurar las exclusiones de Microsoft Defender para evitar la detección.
Curiosamente, también se ha descubierto que el binario contiene enlaces de Tumblr que apuntan a GIF completamente inofensivos de superhéroes cómicos como Batman, lo que da nombre al actor de amenazas. «Estas imágenes no se utilizaron en ningún ataque, sino que simplemente formaban parte del código del malware», afirma Vladislav Kugan, investigador del F6.
El análisis de la infraestructura de ComicForm ha revelado indicios de que también se han dirigido correos electrónicos de suplantación de identidad contra una empresa no especificada que operaba en Kazajstán en junio de 2025 y contra un banco bielorruso en abril de 2025.
F6 también dijo que detectó y bloqueó los correos electrónicos de suplantación de identidad enviados a empresas manufactureras rusas desde la dirección de correo electrónico de una empresa industrial con sede en Kazajstán el 25 de julio de 2025. Estas misivas digitales incitan a los posibles destinatarios a hacer clic en un enlace incorporado para confirmar su cuenta y evitar un posible bloqueo.
Los usuarios que hacen clic en el enlace son redirigidos a una página de destino falsa que imita la página de inicio de sesión de un servicio de gestión de documentos nacional para facilitar el robo de credenciales mediante la transmisión de la información introducida a un dominio controlado por un atacante en forma de solicitud HTTP POST.
«Además, se encontró un código JavaScript en el cuerpo de la página que extrae la dirección de correo electrónico de los parámetros de la URL, rellena el campo de entrada con id="email», extrae el dominio de la dirección de correo electrónico y establece una captura de pantalla del sitio web de ese dominio (mediante la API screenshotapi [.] net) como fondo de la página de suplantación de identidad», explica Kugan.
El ataque dirigido contra el banco bielorruso consistió en enviar un correo electrónico de suplantación de identidad con un señuelo con el tema de una factura para engañar a los usuarios para que introdujeran sus direcciones de correo electrónico y números de teléfono en un formulario, que luego son capturados y enviados a un dominio externo.
«El grupo ataca a empresas rusas, bielorrusas y kazajas de varios sectores, y el uso de correos electrónicos en inglés sugiere que los atacantes también atacan a organizaciones de otros países», dijo F6. «Los atacantes utilizan tanto correos electrónicos de suplantación de identidad para distribuir el malware de FormBook como recursos de suplantación de identidad disfrazados de servicios web para obtener las credenciales de acceso».
Un grupo prorruso apunta a Corea del Sur con un libro de formularios
La revelación se produce cuando el equipo ThreatRecon de la NSHC divulgó detalles de un grupo de ciberdelincuencia prorruso que se ha centrado en los sectores de fabricación, energía y semiconductores en Corea del Sur. La actividad se ha atribuido a un grupo denominado Sector J149 (también conocido como UAC-0050).
Los ataques, observados en noviembre de 2024, comenzaron con correos electrónicos de suplantación de identidad dirigidos a ejecutivos y empleados que utilizaban señuelos relacionados con compras en instalaciones de producción o solicitudes de cotización, lo que llevó a la ejecución de familias de malware básico como Lumma Stealer, Formbook y Remcos RAT mediante un script de Visual Basic distribuido como un archivo archivador de Microsoft (CAB).
El script de Visual Basic está diseñado para ejecutar un comando de PowerShell que llega a un repositorio de Bitbucket o GitHub para obtener un archivo de imagen JPG, que oculta un ejecutable del cargador responsable de lanzar las cargas finales de Stealer y RAT.
«El malware PE ejecutado directamente en el área de memoria es un malware de tipo cargador que descarga datos maliciosos adicionales disfrazados de archivo de texto (.txt) a través de una URL incluida en los valores de parámetros proporcionados, los descifra y, a continuación, genera y ejecuta el PE Malware», la empresa de ciberseguridad de Singapur dijo .
«En el pasado, el grupo SectorJ149 operaba principalmente con fines de lucro, pero se cree que las recientes actividades de hackeo dirigidas a empresas coreanas tienen un marcado carácter hacktivista, ya que utilizan técnicas de hackeo para transmitir mensajes políticos, sociales o ideológicos».