No final de março de 2025, a IBM X-Force liderou um caso de resposta a incidentes envolvendo o Hive0148, um grupo sul-americano de crimes cibernéticos focado em roubo financeiro em toda a região. Esse incidente fez parte de uma série de grandes campanhas ocorridas entre 19 de fevereiro e 20 de março de 2025, entregando o trojan bancário Grandoreiro a usuários no México e na Costa Rica. O incidente envolveu uma vítima que recebeu dois e-mails de phishing, um dos quais levou a um arquivo ZIP hospedado no serviço de compartilhamento de arquivos mediafire[.]com. Se, ao clicar no URL fornecido, a geolocalização da vítima for estabelecida para o México ou a Costa Rica, ela será rapidamente redirecionada para um contaboserver[.]net URL para baixar o arquivo ZIP. O arquivo contém um Visual Basic Script (VBS) malicioso que, após a execução, inicia um arquivo executável com um nome atribuído aleatoriamente. Os próprios executáveis não puderam ser recuperados do sistema infectado. No entanto, a equipe de malware da X-Force analisou o VBS malicioso para recuperar o executável, que revelou ser um Grandoreiro Loader.

O X-Force rastreia distribuidores que entregam o trojan bancário Grandeiro que têm como alvo entidades no México e no Brasil, embora alvos na Espanha, Colômbia e Costa Rica tenham sido observados. O Grandoreiro é um trojan bancário de vários componentes, provavelmente operado como Malware-as-a-Service (MaaS), apresentando funcionalidades como descriptografia de string, algoritmo de geração de domínio (DGA), bem como a capacidade de usar clientes Microsoft Outlook em hosts infectados para espalhar mais e-mails de phishing. O Grandoreiro contém uma grande lista codificada de aplicações bancárias direcionadas que usa para enumerar os dispositivos das vítimas, roubar credenciais e cometer fraudes.

A X-Force rastreia pelo menos três distribuidores que implementam versões diferentes do trojan bancário Grandoreiro, dois identificados como Hive0148 e Hive0149, e um terceiro em desenvolvimento. Os distribuidores do Grandoreiro são agrupados com base em determinadas táticas, técnicas e procedimentos (TTPs), como atributos da cadeia de infecção, incluindo o uso de diferentes carregadores e técnicas de comando e controle (C2), temas de phishing, alvos e indicadores de comprometimento (IOCs). As campanhas de phishing que entregam o Grandoreiro geralmente contêm temas relacionados aos Serviços de Administração Fiscal, à Comissão Federal de Eletricidade (CFE), à fatura eletrônica, aos bancos nacionais e aos tribunais federais/notificações legais.