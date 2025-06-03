No início de maio de 2025, a IBM X-Force observou que o Hive0131 conduzia campanhas por e-mail direcionadas a usuários na Colômbia com notificações eletrônicas de processos criminais, alegando ser do Poder Judicial da Colômbia. Hive0131 é um grupo com motivação financeira, provavelmente originário da América do Sul, que conduz campanhas rotineiramente em grande parte na América Latina (LATAM) para entregar uma ampla variedade de cargas úteis de commodities. As campanhas atuais imitam a correspondência oficial e contêm um link incorporado ou uma isca em PDF com um link incorporado. Clicar no link incorporado iniciará a cadeia de infecção para executar o trojan bancário "DCRat" na memória.

O DCRat é operado como um Malware-as-a-Service (MaaS), aparecendo pela primeira vez em pelo menos 2018, e fortemente anunciado nos fóruns de crime cibernético russos, comprado por cerca de USD 7 por uma assinatura de dois meses. A presença do DCRat é generalizada e se tornou cada vez mais popular na América Latina desde pelo menos 2024. Durante o verão de 2024, a X-Force observou várias campanhas direcionadas fortemente a entidades na Colômbia, todas imitando uma empresa da América Latina especializada em ecossistemas de documentos eletrônicos no México e na Colômbia. No entanto, dadas as diferenças na cadeia de infecção e na entrega do DCRat, a X-Force avalia que as campanhas de 2024 e atuais foram conduzidas por agentes diferentes. As campanhas observadas em 2024 dependiam muito de arquivos rar protegidos por senha contendo NSIS para executar um downloader GuLoader, enquanto essas campanhas recentes dependem de um carregador .NET ofuscado que chamamos de VMDetectLoader.