Desde março de 2024, o X-Force tem observado campanhas de phishing que se passam pelo Tax Administration Service (SAT) do México, pela Federal Electricity Commission (CFE) do México, pela Secretária de administração e finanças da cidade do México e pela Receita federal da Argentina. Os e-mails visam usuários na América Latina, incluindo domínios de nível superior (TLDs) do México, Colômbia e Chile“.mx“,“.co“ e“.cl“. Quaisquer identidades reais foram ocultadas das imagens para preservar a privacidade.

A primeira campanha parece ser uma tentativa de ser percebida como oficial e urgente, informando ao alvo que ele está recebendo um aviso final referente a um débito da Taxa de Registro de Contribuinte Federal (RFC) que não foi pago. Se não for pago, as consequências podem incluir penalidades, multas e o bloqueio do número de identificação fiscal do usuário, afetando a capacidade do alvo de realizar negócios e acessar serviços do governo legalmente. Uma campanha adicional se faz passar pela Federal Electricity Commission (CFE) do México e lembra o destinatário de que ele se inscreveu no CFEMail e, portanto, pode acessar o extrato de conta em formato PDF e XML clicando em um dos links anexados. Uma terceira campanha, imitando o Secretária de administração e finanças, direciona o destinatário a clicar em um PDF para ler os detalhes sobre um aviso de conformidade. Uma campanha imitando a Receita Federal da Argentina instrui o usuário a baixar um novo documento fiscal e tomar as medidas cabíveis.

Em cada campanha, os destinatários são instruídos a clicar em um link para visualizar uma fatura ou taxa, extrato de conta, fazer um pagamento etc., dependendo da entidade representada. Se o usuário que clicar nos links estiver em um país específico (dependendo da campanha, México, Chile, Espanha, Costa Rica, Peru ou Argentina), ele será redirecionado para a imagem de um ícone em PDF, e um arquivo ZIP será baixado em segundo plano. Os arquivos ZIP contêm um grande executável disfarçado com um ícone PDF, criado no dia anterior ou no dia do envio do e-mail.