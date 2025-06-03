2025 年 5 月初，IBM X-Force 观察到 Hive0131 发起针对哥伦比亚用户的电子邮件活动，冒充哥伦比亚司法机构发送刑事案件电子通知。 Hive0131 是一个很可能源自南美、以经济利益为动机的组织，例行在拉丁美洲 (LATAM) 开展活动，主要目的是投放各种商业化的恶意载荷。当前的活动模仿官方信函，内容包含一个嵌入式链接，或一个带有嵌入式链接的 PDF 诱饵文件。点击该嵌入式链接将启动感染链条，在内存中执行银行木马“DCRat”。

DCRat 以恶意软件即服务 (MaaS) 模式运作，至少于 2018 年首次出现，并在俄罗斯网络犯罪论坛上大量宣传，购买约 7 美元可使用两个月。DCRat 的存在非常广泛，至少自 2024 年以来在拉丁美洲日益流行。在 2024 年夏季，X-Force 观察到多个活动主要针对哥伦比亚的实体，均模仿一家在墨西哥和哥伦比亚专门从事电子文档生态系统的 LATAM 公司。然而，鉴于感染链条和 DCRat 投放方式的差异，X-Force 评估认为 2024 年的活动与当前活动是由不同行为者实施的。2024 年观察到的活动大量使用受密码保护的 RAR 文件（内含 NSIS 安装包）来释放 GuLoader 下载器，而近期这些活动则依赖于一个我们命名为 VMDetectLoader 的混淆 .NET 加载器。