A principios de mayo de 2025, IBM® X-Force detectó que Hive0131 llevaba a cabo campañas de correo electrónico dirigidas a usuarios de Colombia con notificaciones electrónicas de procedimientos penales, que pretendían provenir del Poder Judicial de Colombia. Hive0131 es un grupo con motivaciones económicas, probablemente originario de Sudamérica, que lleva a cabo campañas de forma habitual, principalmente en Latinoamérica (LATAM), para distribuir una amplia gama de cargas útiles de productos básicos. Las campañas actuales imitan la correspondencia oficial y contienen un enlace incrustado o un señuelo en PDF con un enlace incrustado. Al hacer clic en el enlace incrustado, se iniciará la cadena de infección para ejecutar el troyano bancario "DCRat" en la memoria.
DCRat funciona como Malware como servicio (MaaS), apareció por primera vez al menos en 2018 y se publicita mucho en los foros rusos sobre cibercrimen, y se puede comprar por unos 7 USD por una suscripción de dos meses. La presencia de DCRat está muy extendida y se ha vuelto cada vez más popular en LATAM desde al menos 2024. Durante el verano de 2024, X-Force observó varias campañas dirigidas principalmente a entidades en Colombia, todas imitando a una empresa LATAM especializada en ecosistemas de documentos electrónicos en México y Colombia. Sin embargo, dadas las diferencias en la cadena de infección y en la entrega de DCRat, X-Force evalúa que las campañas de 2024 y las actuales las llevaron a cabo diferentes actores. Las campañas observadas en 2024 dependían en gran medida de archivos RAR protegidos por contraseña que contenían NSIS para ejecutar un descargador de GuLoader, mientras que estas campañas recientes dependen de un cargador .NET ofuscado al que hemos llamado VMDetectLoader.
DCRat incluye complementos capaces de realizar las siguientes tareas, aunque los actores de amenazas pueden crear complementos personalizados para llevar a cabo tareas adicionales:
MaaS
A principios de mayo de 2025, X-Force observó campañas de correo electrónico de Hive0131 que imitaban a la Rama Judicial de Colombia, supuestamente procedentes del Circuito Civil de Bogotá, Colombia, para enviar notificaciones electrónicas de procedimientos penales. Las campañas observadas contienen un señuelo PDF con un enlace a una TinyURL o contienen un enlace incrustado a una ubicación de Google Docs.
Descripción general de la cadena de infección - PDF con TinyURL
Para los correos electrónicos que contienen un señuelo PDF que conduce a una tinyurl, se redirige a la víctima a un archivo ZIP llamado 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.Uue. El archivo ZIP contiene archivos benignos, así como un archivo JavaScript malicioso llamado 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.js. El archivo JavaScript descarga una carga útil de JavaScript de un sitio paste[.]ee y lo ejecuta. A continuación, esta carga ejecuta un comando de PowerShell que descarga un JPG de hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg con un cargador codificado en base64 añadido al final del archivo. Una vez ejecutado, el cargador descarga y ejecuta DCRat en memoria.
El cargador recibe el nombre de VMDetectLoader debido a su capacidad para determinar si se está ejecutando en un entorno aislado. El análisis indica que el cargador se basa en el proyecto de código abierto https://github.com/robsonfelix/VMDetector.
Resumen de la cadena de infección - Enlace incrustado de Google Docs
Esta cadena de infección se inicia con correos electrónicos de phishing que contienen un enlace a una descarga de Google Docs de un archivo ZIP protegido por contraseña llamado CUI 158616000129-2025-10047_122011111777.zip, la contraseña de la cual está en el correo electrónico y es 3004. El archivo contiene un descargador de archivos por lotes, CUI 158616000129-2025-10047_122011111777.bat, que descarga y ejecuta un componente VBScript (VBS) ofuscado de
La carga útil final es descargada por VMDetectLoader mediante un paste[.]EE URL pasada por el script de PowerShell.
VMDetectLoader es un cargador .NET ofuscado (Microsoft.Win32.TaskScheduler.dll) que se puede encontrar en VirusTotal en https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7. El análisis de los metadatos del cargador indica que el código está basado en el proyecto de código abierto https://github.com/robsonfelix/VMDetector.
Atributos de ensamblaje:
Antes de cargar la carga útil, el cargador detecta máquinas virtuales e imprime una lista de atributos de host en la consola si se detecta una VM. Por ejemplo:
Funcionalidad
VMDetectLoader se ejecuta a través de su función
Argumento
Descripción
$storeman
URL de Pastee invertida desde la que se descarga una carga útil codificada en base64.
MSBuilld
Proceso de inyección del objetivo
C:\Users\Public\Downloads
Ruta utilizada para crear una tarea programada:
C:\Users\Public\Downloads\rhabdosteus.js
1
Marca que indica comprobaciones de procesos
bimetalismo
Nombre de la tarea programada
Durante la ejecución, VMDetectLoader, XOR descifra las cadenas notables según sea necesario del recurso .NET "hIXS".
Muestras de cadenas descifradas
Persistencia
Si se configura para ello, se crea una tarea programada para ejecutar el siguiente comando de PowerShell que descarga y ejecuta una carga útil de JavaScript:
Se puede crear otra tarea, si está configurada, para ejecutar la carga útil de JavaScript utilizando el siguiente comando:
El cargador también puede crear una clave de ejecución del Registro para ejecutar la carga útil:
Inyección de procesos
VMDetectLoader tiene la capacidad de utilizar la técnica de inyección de huecos de procesos para cargar una carga útil en diferentes instancias del proceso de destino. Por ejemplo, para la campaña analizada, C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe (32-bit) o C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (64-bit) es el proceso objetivo. La función responsable de la inyección del proceso se denomina HackForums.gigajew.x64.Load() para las muestras de 64 bits y dnlib.IO.Tools.Ande() para las muestras de 32 bits.
Proceso de inyección de vaciado:
Si VMDetectLoader determina que está funcionando en un entorno seguro, la carga útil final se carga mediante hollowing de procesos. En este caso, la carga útil final es DCRat con los siguientes datos de configuración.
X-Force rastrea varios grupos que operan en el panorama de amenazas latinoamericano que realizan campañas de correo electrónico que entregan MaaS con el fin de obtener ganancias financieras. Entre los grupos rastreados se encuentran Hive0148 y Hive0149, que se centran en entregar el troyano bancario Grandoriero, Hive0153 que entrega el malware Adwind y SambaSpy, y Hive0131. Aunque Hive0131 suele centrarse en operaciones con la entrega de malware como QuasarRAT y NjRAT, X-Force ha observado un aumento de las campañas que implican DCRat. Con la constante y continua aparición de malware bancario dirigido a los usuarios de Latinoamérica, IBM X-Force estima que esta región seguirá siendo blanco de los actores de amenazas que buscan implementar troyanos bancarios a través de campañas de phishing con el fin de obtener las credenciales de los usuarios y otra información confidencial.
Se recomienda a las entidades de LATAM que tengan cuidado con los correos electrónicos que contengan archivos adjuntos, enlaces o que contengan instrucciones de descarga de archivos. Además, se aconseja a las entidades que realicen lo siguiente:
Indicador
Tipo de indicador
Contexto
4ce1d456fa8831733ac01c4a2a32044b6581664d3
SHA256
Archivo portador
6a632d8356f42694adb21c064aa9e8710b65addd
SHA256
Archivo ZIP
1603c606d62e7794da09c51ca7f321bb555044916
SHA256
DCRat
ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
SHA256
JS
0df13fd42fb4a4374981474ea87895a3830eddcc7f3
SHA256
Cargador .NET Ofuscado
db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
SHA256
Archivo ZIP
3c95678d140825b56e04298ce6238ce22b34611d25
SHA256
PS Script
7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
SHA256
PS Script
b16588e0e2c6a0c8ff080ded57abe8159008d040ae
SHA256
Descargador de scripts por lotes
hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
URL
Enlace PDF incrustado
hxxp://paste[.]ee/d/bx699sF9/0
URL
URL de descarga de la carga útil
hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
URL
Enlace de correo electrónico incrustado
hxxp://paste[.]ee/d/jYHEqBJ3/0
URL
URL de descarga de la carga útil
hxxps://archive[.]org/download/new_ABBAS/new_
URL
URL de descarga JPG
hxxps://ia601205.us.archive[.]org/26/items/new_
URL
URL de descarga JPG
