Netcrook Logo
👤 CIPHERWARDEN
🗓️ 18 Oct 2025   🗂️ Threats    

Capas de superhéroe y humo cibernético: ComicForm y SectorJ149 desatan ataques de Formbook en Eurasia

Dos grupos de hackers están explotando imágenes de cómics y facturas falsas en una ola de ataques de malware y phishing dirigidos a industrias eurasiáticas y más allá.

Datos Rápidos

  • ComicForm es un grupo de hackers recién identificado que ataca Bielorrusia, Kazajistán y Rusia desde abril de 2025.
  • Tanto ComicForm como SectorJ149 han desplegado el notorio malware Formbook a través de correos electrónicos de phishing.
  • Los objetivos incluyen bancos, manufactura, biotecnología, turismo y sectores de investigación.
  • Los atacantes utilizan ejecutables disfrazados y sitios falsos de gestión documental para robar credenciales.
  • SectorJ149, un grupo pro-ruso, amplió sus ataques a empresas tecnológicas y energéticas surcoreanas a finales de 2024.

El arte del engaño: superhéroes de cómic y villanos digitales

En un giro digno de un thriller cibernético, los hackers han comenzado a cubrir su código malicioso con el equivalente digital de capas de superhéroe: GIFs ocultos de Batman incrustados en el malware. Este peculiar detalle es la marca registrada de ComicForm, un grupo de hackers previamente desconocido que ahora está en el centro de una serie de ataques sofisticados que recorren Bielorrusia, Kazajistán y Rusia. Desde la primavera de 2025, ComicForm ha estado infiltrando silenciosamente industrias desde finanzas hasta biotecnología, utilizando correos electrónicos que parecen tan mundanos como facturas vencidas pero que contienen una carga mucho más siniestra.

Phishing por poder: cómo funcionan los ataques

El ataque comienza con un señuelo familiar: un correo electrónico con un asunto como "Esperando el documento firmado" o "Factura para pago". El archivo adjunto simula ser un PDF pero en realidad es un programa de Windows (.exe). Al abrirlo, se desencadena una reacción en cadena: primero, un cargador oculto lanza un segundo programa, que luego deja caer el verdadero premio - Formbook, una notoria cepa de malware diseñada para robar contraseñas y datos sensibles. Para evitar la detección, el malware desactiva partes de Windows Defender y programa su ejecución repetida.

Pero ComicForm no se detiene en el malware. Investigadores de la firma de ciberseguridad F6 descubrieron campañas de phishing que utilizan páginas de inicio de sesión falsas que imitan servicios reales de gestión documental. Estas páginas no solo roban credenciales de acceso, sino que emplean trucos ingeniosos - como mostrar una captura de pantalla del sitio web de la empresa de la víctima como fondo - para adormecer a los objetivos en una falsa sensación de seguridad. Ni siquiera los bancos son inmunes: en un caso, un banco bielorruso fue atacado con un correo de phishing que extrajo tanto direcciones de correo electrónico como números de teléfono.

SectorJ149: viejos conocidos, nuevos objetivos

Mientras ComicForm es nuevo en la escena, SectorJ149 - también conocido como UAC-0050 - tiene una historia más larga. Antes enfocado en el beneficio financiero, este grupo pro-ruso recientemente ha cambiado su objetivo hacia los sectores de manufactura, energía y semiconductores de Corea del Sur. Sus tácticas son igualmente astutas: correos electrónicos dirigidos a ejecutivos, cargados con solicitudes de cotización o compras, entregan malware a través de archivos disfrazados. El malware, incluyendo Formbook y Remcos RAT, está oculto en archivos de imagen y solo se activa tras una serie de pasos encubiertos.

Según NSHC ThreatRecon, con sede en Singapur, estas campañas son cada vez más hacktivistas, buscando hacer declaraciones políticas tanto como obtener dinero. Los ataques a Corea del Sur reflejan una tendencia más amplia de operaciones cibernéticas utilizadas como herramientas de influencia y disrupción, especialmente a medida que aumentan las tensiones geopolíticas.

Una red creciente de amenazas

Formbook ha sido un elemento básico en el arsenal de los ciberdelincuentes durante años, valorado por su capacidad para robar credenciales y evadir la detección. Las campañas actuales recuerdan ataques pasados - como la ola de infecciones de Formbook en 2022 dirigida a empresas logísticas europeas - pero destacan por su creatividad y ambición transfronteriza. El uso de señuelos en inglés sugiere que ComicForm y SectorJ149 están lanzando una red aún más amplia, amenazando potencialmente a organizaciones más allá de Eurasia.

En el mundo del cibercrimen, incluso los detalles más pequeños - un GIF de superhéroe, un asunto de correo familiar - pueden ser la máscara de algo mucho más peligroso. A medida que los hackers evolucionan sus tácticas, la vigilancia y el escepticismo siguen siendo los mejores escudos contra estos disfraces digitales.

WIKICROOK

  • Formbook: Formbook es un malware que roba contraseñas e información sensible de computadoras infectadas, comúnmente utilizado en ataques de phishing para cometer fraudes.
  • Phishing: El phishing es un ciberdelito en el que los atacantes envían mensajes falsos para engañar a los usuarios y hacer que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Loader: Un loader es un software malicioso que instala o ejecuta otros malware en un sistema infectado, permitiendo ataques cibernéticos adicionales o acceso no autorizado.
  • RAT (Remote Access Trojan): Un RAT (Troyano de Acceso Remoto) es un malware que permite a los atacantes controlar en secreto el dispositivo de una víctima de forma remota, accediendo a archivos y funciones del sistema.
  • Obfuscation: La ofuscación es la práctica de disfrazar código o datos para dificultar su comprensión, análisis o detección por parte de humanos o herramientas de seguridad.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news