Negli ultimi mesi, organizzazioni situate in Bielorussia, Kazakistan e Russia sono state prese di mira da una sofisticata campagna di phishing condotta da un gruppo di hacker identificato come ComicForm. L’attività di questo gruppo, attiva almeno da aprile 2025, ha colpito settori industriali, finanziari, del turismo, della biotecnologia, della ricerca e del commercio.
Attacchi e tecniche utilizzate
Gli attacchi partono da email di phishing, spesso con oggetto come “In attesa del documento firmato”, “Fattura per il pagamento” o “Atto di riconciliazione per la firma”. Queste email, scritte in russo o inglese, invitano le vittime ad aprire un archivio RR contenente un eseguibile per Windows che si camuffa da PDF. Una volta eseguito, il file attiva un loader .NET offuscato che lancia una DLL malevola, la quale a sua volta esegue una seconda DLL. Quest’ultima funge da dropper per il malware Formbook, ma prima crea una attività pianificata e modifica le esclusioni di Microsoft Defender, eludendo così i controlli di sicurezza.
Un aspetto singolare del malware ComicForm è la presenza di link a GIF di supereroi dei fumetti, come Batman, ospitati su Tumblr. Queste immagini non hanno scopo operativo nell’attacco, ma sono parte del codice e probabilmente danno il nome al gruppo.
Bersagli e modalità di compromissione
L’infrastruttura di ComicForm ha permesso di individuare attacchi mirati anche contro una banca bielorussa e un’azienda kazaka. In alcuni casi, le email provenivano da indirizzi apparentemente legittimi di società industriali del Kazakistan e spingevano la vittima a cliccare su un link che conduceva a una pagina di phishing, imitazione di un servizio di gestione documentale, per sottrarre credenziali.
L’attacco contro la banca bielorussa utilizzava una finta fattura per indurre gli utenti a inserire indirizzo email e numero di telefono, dati poi inviati a domini controllati dagli aggressori. L’uso di email in inglese suggerisce che il gruppo potrebbe prendere di mira anche altri paesi oltre Russia, Bielorussia e Kazakistan.
Il gruppo SectorJ149 e le attività parallele
Parallelamente, un altro gruppo, denominato SectorJ149 (detto anche UAC-0050), di matrice pro-russa, ha attaccato aziende sudcoreane nei settori manifatturiero, energetico e dei semiconduttori. Questi attacchi sfruttano email spear-phishing con allegati CAB contenenti script Visual Basic. Lo script scarica da Bitbucket o GitHub un file JPG che nasconde un loader esecutivo per avviare malware come Lumma Stealer, Formbook e Remcos RAT. Recentemente, SectorJ149 ha mostrato anche intenti hacktivisti, utilizzando le proprie capacità per veicolare messaggi politici, sociali o ideologici oltre al mero profitto economico.
