AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

## Nuevo grupo ComicForm lanza campaña de phishing avanzada contra sectores críticos en Eurasia

admin

### Introducción

Desde abril de 2025, un actor de amenazas hasta ahora desconocido, denominado ComicForm, ha iniciado una sofisticada campaña de phishing dirigida a organizaciones de Bielorrusia, Kazajistán y Rusia. La operación, identificada por la firma de ciberseguridad F6, afecta a sectores tan estratégicos como el industrial, financiero, turístico, biotecnológico, de investigación y comercio. El descubrimiento de estas acciones señala un cambio relevante en el panorama de amenazas en Eurasia, donde grupos emergentes aprovechan vectores de ataque cada vez más elaborados para comprometer infraestructuras críticas.

### Contexto del Incidente o Vulnerabilidad

El grupo ComicForm ha permanecido inédito hasta la fecha y su aparición coincide con una intensificación de los ataques dirigidos a sectores esenciales en la región euroasiática. En el contexto geopolítico actual, donde la digitalización de procesos industriales y financieros avanza a gran velocidad, la exposición a amenazas persistentes y campañas de phishing dirigidas se ha incrementado notablemente.

Los objetivos de ComicForm no se limitan solo a la obtención de credenciales o la ejecución de ransomware; las campañas observadas buscan también el acceso prolongado a redes corporativas, la exfiltración de información sensible y la implantación de puertas traseras persistentes. Este enfoque multivectorial pone de relieve la profesionalización de los grupos de ciberdelincuentes que operan más allá de los marcos tradicionales.

### Detalles Técnicos

Según el análisis de F6, la cadena de ataque de ComicForm comienza con correos electrónicos de phishing cuidadosamente diseñados, que suplantan entidades legítimas del entorno empresarial local. Estos correos contienen archivos adjuntos maliciosos en formato Microsoft Office (principalmente .docx y .xlsx), aprovechando macros ofuscadas para iniciar la infección.

Las técnicas, tácticas y procedimientos (TTP) identificados corresponden a los siguientes vectores del marco MITRE ATT&CK:
– **T1566.001 (Spearphishing Attachment)**
– **T1059.001 (PowerShell)**
– **T1055 (Process Injection)**
– **T1027 (Obfuscated Files or Information)**

Al abrir el documento y habilitar las macros, se ejecuta un payload inicial que descarga un segundo estadio desde un servidor C2 (Command and Control) alojado en dominios previamente comprometidos. El malware principal identificado es una variante personalizada de un backdoor tipo RAT (Remote Access Trojan), capaz de:
– Registrar pulsaciones de teclado.
– Capturar pantallazos y archivos sensibles.
– Exfiltrar información a través de HTTPs cifrado.
– Mantener persistencia mediante la modificación de claves de registro y tareas programadas.

Entre los indicadores de compromiso (IoC) detectados figuran hashes de archivos, direcciones IP de C2 y dominios correlacionados con la infraestructura operativa de ComicForm. Se han observado intentos de evasión de EDR y el uso de técnicas como DLL Side-Loading para evitar la detección.

### Impacto y Riesgos

El impacto potencial de la campaña es elevado, dada la naturaleza de las organizaciones objetivo y el acceso a información crítica que manejan. Las consecuencias pueden incluir:
– Acceso no autorizado a sistemas SCADA y OT en el sector industrial.
– Robo de datos financieros y personales de clientes.
– Compromiso de proyectos de investigación y propiedad intelectual.
– Interrupción de operaciones comerciales y logísticas.

Según F6, hasta un 12% de las empresas contactadas en el periodo analizado han mostrado signos de compromiso inicial, y se estima que el daño económico potencial podría superar los 15 millones de euros si la campaña no es contenida.

### Medidas de Mitigación y Recomendaciones

Para contener el alcance de ComicForm y reforzar la seguridad ante campañas de phishing dirigidas, se recomienda:
– Actualizar firmas de antivirus y EDR con los últimos IoC.
– Restringir la ejecución de macros en documentos de origen externo.
– Implementar políticas de Zero Trust y autenticación multifactor.
– Monitorizar logs de acceso y tráfico de red en busca de patrones anómalos.
– Desplegar soluciones de sandboxing para archivos adjuntos y enlaces.
– Capacitar a los empleados sobre técnicas de spearphishing y simulacros periódicos.

### Opinión de Expertos

Especialistas de F6 y el sector coinciden en que ComicForm representa una nueva generación de amenazas, caracterizada por su capacidad de adaptación y el uso de técnicas avanzadas de evasión. La ausencia de herramientas comerciales conocidas en la cadena de ataque y la personalización de los payloads dificultan su detección temprana. Según analistas de Threat Intelligence, el grupo podría estar respaldado por intereses estatales o paraestatales, dada la selección de objetivos estratégicos y la sofisticación de sus TTP.

### Implicaciones para Empresas y Usuarios

El incidente subraya la necesidad imperiosa de elevar los estándares de ciberseguridad, especialmente en sectores regulados por normativas como GDPR y la directiva NIS2. Las empresas afectadas están obligadas a notificar brechas y a reforzar su postura defensiva ante ataques dirigidos. Para los usuarios finales, la concienciación y el escepticismo frente a correos inesperados constituyen la primera línea de defensa.

### Conclusiones

La aparición de ComicForm y su campaña de phishing avanzada refuerzan la tendencia hacia amenazas cada vez más segmentadas y técnicas en Eurasia. La colaboración entre CERTs, el intercambio de IoC y la adopción de medidas proactivas serán claves para mitigar el impacto de estos ataques. La ciberseguridad debe entenderse como un proceso dinámico y continuo, en el que la inteligencia y la prevención resultan determinantes.

(Fuente: feeds.feedburner.com)