A principios de mayo de 2025, IBM® X-Force detectó que Hive0131 llevaba a cabo campañas de correo electrónico dirigidas a usuarios de Colombia con notificaciones electrónicas de procedimientos penales, que pretendían provenir del Poder Judicial de Colombia. Hive0131 es un grupo con motivaciones económicas, probablemente originario de Sudamérica, que lleva a cabo campañas de forma habitual, principalmente en Latinoamérica (LATAM), para distribuir una amplia gama de cargas útiles de productos básicos. Las campañas actuales imitan la correspondencia oficial y contienen un enlace incrustado o un señuelo en PDF con un enlace incrustado. Al hacer clic en el enlace incrustado, se iniciará la cadena de infección para ejecutar el troyano bancario "DCRat" en la memoria.

DCRat funciona como Malware como servicio (MaaS), apareció por primera vez al menos en 2018 y se publicita mucho en los foros rusos sobre cibercrimen, y se puede comprar por unos 7 USD por una suscripción de dos meses. La presencia de DCRat está muy extendida y se ha vuelto cada vez más popular en LATAM desde al menos 2024. Durante el verano de 2024, X-Force observó varias campañas dirigidas principalmente a entidades en Colombia, todas imitando a una empresa LATAM especializada en ecosistemas de documentos electrónicos en México y Colombia. Sin embargo, dadas las diferencias en la cadena de infección y en la entrega de DCRat, X-Force evalúa que las campañas de 2024 y las actuales las llevaron a cabo diferentes actores. Las campañas observadas en 2024 dependían en gran medida de archivos RAR protegidos por contraseña que contenían NSIS para ejecutar un descargador de GuLoader, mientras que estas campañas recientes dependen de un cargador .NET ofuscado al que hemos llamado VMDetectLoader.