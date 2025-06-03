Anfang Mai 2025 beobachtete IBM X-Force, wie Hive0131 E-Mail-Kampagnen mit elektronischen Benachrichtigungen über Strafverfahren gegen Nutzer in Kolumbien durchführte, die angeblich von der Justiz Kolumbiens stammten. Hive0131 ist eine finanziell motivierte Gruppe, die vermutlich aus Südamerika stammt und routinemäßig Kampagnen hauptsächlich in Lateinamerika (LATAM) durchführt, um eine breite Palette an Payloads zu verbreiten. Die aktuellen Kampagnen imitieren offizielle Korrespondenz und enthalten entweder einen eingebetteten Link oder einen PDF-Köder mit einem eingebetteten Link. Ein Klick auf den eingebetteten Link initiiert die Infektionskette, um den Banking-Trojaner „DCRat“ im Speicher auszuführen.

DCRat wird als Malware-as-a-Service (Malware) betrieben, tauchte erstmals mindestens im Jahr 2018 auf und wurde stark in russischen Cyberkriminalitätsforen beworben. Ein zweimonatiges Abonnement kostet etwa 7 US-Dollar. Die Präsenz von DCRat ist weit verbreitet und erfreut sich seit mindestens 2024 in LATAM zunehmender Beliebtheit. Im Sommer 2024 beobachtete X-Force mehrere Kampagnen, die sich stark auf Unternehmen in Kolumbien konzentrierten und ein Unternehmen LATAM imitierten, das sich auf elektronische Dokumenten-Ökosysteme in Mexiko und Kolumbien spezialisiert hat. Aufgrund der Unterschiede in der Infektionskette und der Bereitstellung von DCRat geht X-Force jedoch davon aus, dass die Kampagne aus dem Jahr 2024 und die aktuellen Kampagnen von unterschiedlichen Akteuren durchgeführt wurden. Die im Jahr 2024 beobachteten Kampagnen stützten sich stark auf passwortgeschützte RAR-Archive mit NSIS, um einen GuLoader-Downloader auszuführen, während die aktuellen Kampagnen auf einen obfuskierten .NET-Loader zurückgreifen, den wir VMDetectLoader genannt haben.