ComicForm e SectorJ149 Hackers Distribuem Malware Formbook em Ciberataques na Eurásia

Nova Ameaça: Grupo ComicForm

Uma campanha de phishing direcionada a organizações na Bielorrússia, Cazaquistão e Rússia foi identificada, realizada por um grupo hacker anteriormente desconhecido chamado ComicForm. As atividades, detectadas desde abril de 2025, visam setores industriais, financeiros, turismo, biotecnologia, pesquisa e comércio.

Técnicas de Ataque do ComicForm

• E-mails com assuntos como "Waiting for the signed document" ou "INvoice for Payment"
• Arquivos RAR contendo executáveis disfarçados de documentos PDF
• Código .NET ofuscado que carrega malware Formbook
• Criação de tarefas agendadas e exclusões no Microsoft Defender para evasão
• Links para páginas de phishing que imitam serviços de gerenciamento de documentos

SectorJ149: Ataques à Coreia do Sul

Paralelamente, o grupo pró-russo SectorJ149 (UAC-0050) tem como alvo setores de manufatura, energia e semicondutores na Coreia do Sul. Os ataques, observados em novembro de 2024, utilizam:

• E-mails de spear-phishing com iscas relacionadas a compras de instalações
• Scripts em Visual Basic que baixam imagens JPG maliciosas
• Malwares como Lumma Stealer, Formbook e Remcos RAT
• Técnicas de carregamento direto na memória para evitar detecção

Impacto e Motivações

Ambos os grupos demonstram sofisticação em suas campanhas, com o ComicForm focando em roubo de credenciais e dados, enquanto o SectorJ149 mostra características hacktivistas além de motivações financeiras. As atividades indicam uma expansão de ataques cibernéticos coordenados na região eurasiática.