Desde marzo de 2024, X-Force ha observado campañas de phishing que se hacen pasar por el Servicio de Administración Tributaria (SAT) de México, la Comisión Federal de Electricidad (CFE) de México, la Secretaría de Administración y Finanzas de la ciudad de México y el Servicio de Impuestos de Argentina. Los correos electrónicos están dirigidos a usuarios de América Latina, incluidos los dominios de nivel superior (TLD) de México, Colombia y Chile ".mx", ".co" y".cl". Las identidades reales se han suprimido de las imágenes por motivos de privacidad personal.

La primera campaña parece ser un intento de ser percibida como oficial y urgente e informa al objetivo de que está recibiendo una notificación final sobre un débito a la Tasa Federal de Registro de Contribuyentes (RFC) que no se ha pagado. En caso de impago, las consecuencias pueden incluir sanciones, multas y el bloqueo del número de identificación fiscal del usuario, lo que afecta a la capacidad del objetivo para realizar negocios y acceder a los servicios de gobierno de forma legal. Una campaña adicional se hace pasar por la Comisión Federal de Electricidad (CFE) de México y recuerda al destinatario que se suscribió a CFEMail y, por lo tanto, puede acceder a su extracto de cuenta en formato PDF y XML haciendo clic en uno de los enlaces incrustados. Una tercera campaña, imitando a la Secretaría de Administración y Finanzas, dirige al destinatario a hacer clic en un PDF para leer los detalles relativos a un aviso de cumplimiento. Una campaña que imita al Servicio de Hacienda de Argentina instruye al usuario a descargar un nuevo documento fiscal y tomar las acciones correspondientes.

En cada campaña, se indica a los destinatarios que hagan clic en un enlace para ver una factura o tarifa, un extracto de cuenta, realizar un pago, etc., según la entidad suplantada. Si el usuario que hace clic en los enlaces se encuentra dentro de un país concreto (según la campaña, México, Chile, España, Costa Rica, Perú o Argentina), se le redirige a la imagen de un icono PDF y se descarga un archivo ZIP en segundo plano. Los archivos ZIP contienen un gran ejecutable disfrazado con un icono de PDF, que se descubrió que se había creado el día anterior o el día en que se envió el correo electrónico.