Seit März 2024 beobachtet X-Force Phishing-Kampagnen, die sich als Mexikos Steuerbehörde (SAT), Mexikos Federal Electricity Commission (CFE), der Minister für Verwaltung und Finanzen der Stadt Mexiko und der Finanzbehörde von Argentinien ausgeben. Die E-Mails zielen auf Nutzer in Lateinamerika ab, einschließlich Top-Level-Domains (TLDs) aus Mexiko, Kolumbien und Chile „.mx“, „.co“ und „.cl“. Aus Gründen des Datenschutzes wurden alle realen Identitäten aus den Bildern entfernt.

Die erste Kampagne scheint ein Versuch zu sein, als offiziell und dringend wahrgenommen zu werden und informiert die Zielperson darüber, dass sie eine letzte Mitteilung bezüglich einer Belastung der Federal Taxpayer Registration Fee (RFC) erhält, die noch nicht bezahlt wurde. Bei Nichtzahlung können Strafen, Bußgelder und eine Sperrung der Steueridentifikationsnummer des Nutzers zu Strafen, Geldstrafen und einer Sperrung der Steueridentifikationsnummer des Nutzers führen, was sich darauf auswirkt, dass die Zielperson Geschäfte tätigen und legal Zugang zu staatlichen Diensten erhalten kann. Eine weitere Kampagne gibt sich als die mexikanische Federal Electricity Commission (CFE) aus und erinnert den Empfänger daran, dass er CFEMail abonniert hat und daher auf seinen Kontoauszug im PDF- und XML-Format aufrufen kann, indem man auf einen der eingebetteten Links klickt. Eine dritte Kampagne, die das Ministerium für Verwaltung und Finanzen imitiert, fordert den Empfänger auf, auf eine PDF-Datei zu klicken, um die Details zu einer Compliance-Mitteilung zu lesen. Eine Kampagne, die den argentinischen Steuerdienst imitiert, fordert den Nutzer auf, ein neues Steuerdokument herunterzuladen und entsprechende Maßnahmen zu ergreifen.

In jeder Kampagne werden die Empfänger aufgefordert, auf einen Link zu klicken, um eine Rechnung oder Gebühr, einen Kontoauszug einzusehen, eine Zahlung zu tätigen usw., je nach der nachgeahmten Entität. Wenn sich der Nutzer, der auf die Links klickt, in einem bestimmten Land befindet (je nach Kampagne Mexiko, Chile, Spanien, Costa Rica, Peru oder Argentinien), wird er zu einem Bild eines PDF-Symbols weitergeleitet, und im Hintergrund wird eine ZIP-Datei heruntergeladen. Die ZIP-Dateien enthalten eine große ausführbare Datei, die mit einem PDF-Symbol getarnt ist und die nachweislich am Tag vor oder am Tag des E-Mail-Versands erstellt wurde.