22 Sep
Introduction
Les cyberattaques prennent de plus en plus d’ampleur, en particulier dans les zones stratégiques comme l’Eurasie. Depuis avril 2025, un groupe de hackers peu documenté baptisé ComicForm cible directement des organisations industrielles et financières dans des pays clés comme la Biélorussie, la Russie et le Kazakhstan. Ces opérations intègrent des malwares sophistiqués comme Formbook pour récolter des données critiques tout en évitant d’être détectées.
Dans cet article, nous explorerons les détails de ces campagnes, les techniques employées et les vulnérabilités exploitées par les groupes comme ComicForm et SectorJ149. En tant qu’experte en intelligence économique chez LynxIntel, je propose également des recommandations pratiques pour protéger votre entreprise contre ces menaces.
Qu’est-ce que ComicForm et pourquoi est-ce préoccupant ?
ComicForm est un collectif malveillant qui semble avoir émergé cette année avec des tactiques très ciblées, particulièrement axées sur les entreprises dans les secteurs critiques tels que la biotechnologie et la finance. Leur modus operandi inclut des campagnes de phishing sophistiquées qui s’appuient sur :
- Des titres d’email engageants comme “Acte de réconciliation pour signature” ou “Facture de paiement”.
- Des fichiers joint nommés de manière trompeuse, par exemple “fichier_pdf_2025.exe”.
Une fois le fichier ouvert, un trojan en plusieurs étapes introduit Formbook, un malware conçu pour exfiltrer l’information des utilisateurs.
Ce qui rend ComicForm particulièrement dangereux est sa capacité à manipuler les systèmes locaux comme Microsoft Defender pour supprimer les barrières de sécurité.
La mécanique de l’attaque
Un exemple marquant des attaques de ComicForm inclut une méthode en trois phases consistant à :
Phase 1 : Distribution
Utilisation massive d’emails frauduleux contenant des “PDF exécutables” déguisés en documents légitimes.
Phase 2 : Obfuscation et persistance
Un programme .NET modifié installe les DLL malveillants ‘Montero.dll’, évitant l’identification via des tâches planifiées.
Phase 3 : Extraction
À terme, Formbook est déployé, collectant les données sensibles telles que les identifiants ou les coordonnées bancaires.
Sous-expansion : Focus sur SectorJ149
SectorJ149, un collectif pro-russe, a adopté des pratiques similaires mais avec un accent sur l’espionnage industriel, particulièrement en Corée du Sud. Ils intègrent des vecteurs comme Remcos RAT ou Lumma Stealer pour dérober du contenu crucial parmi les entreprises en semi-conducteurs.
Ces activités montrent que l’aspect “hacktiviste” devient un masque pour cacher de réels objectifs politiques.
L’IA et les outils modernes propulsant les mauvaises actions
Certaines tactiques récentes intègrent des algorithmes modernes comme GPT-4, utilisés pour automatiser et améliorer la capacité à manipuler ou attirer les utilisateurs via des emails d’ingénierie sociale soigneusement adaptés.
Ces technologies rendent les attaques plus rapides, moins onéreuses et extrêmement crédibles face aux systèmes humains.
Comment protéger vos infrastructures ?
Face à une menace multiforme, voici quelques mesures solides à envisager :
- Formation au personnel centrée sur la reconnaissance des emails suspects et files.
- Implémentation du logiciel EDR (Endpoint Detection and Response).
- Déployer la segmentation réseau pour réduire l’impact potentiel.
Votre engagement à établir des audits réguliers garantit une gestion proactive contre les risques en cours.
Conclusivement, pouvons-nous éradiquer une cybermenace croissante ?
Les campagnes telles que celle de ComicForm mettent en lumière combien la cybersécurité reste non négociable pour les entreprises ciblées. Outre la technologie, les solutions comme “My Own Detective” offrent suggestions pour contrer immédiatement URL malveillantes. Restez vigilant, informé, et priorisez votre stratégie de protection aujourd’hui.
