A finales de marzo de 2025, IBM® X-Force lideró un caso de respuesta a incidentes relacionado con Hive0148, un grupo sudamericano de cibercrímenes centrados en el robo financiero en toda la región. Este incidente formó parte de una serie de grandes campañas que tuvieron lugar entre el 19 de febrero y el 20 de marzo de 2025, en las que se distribuyó el troyano bancario Grandoreiro a usuarios de México y Costa Rica. El incidente consistió en que una víctima recibió dos correos electrónicos de phishing, uno de los cuales conducía a un archivo ZIP alojado en el servicio de intercambio de archivos mediafire[.]com. Si, al hacer clic en la URL proporcionada, la geolocalización de la víctima se establece para México o Costa Rica, se le redirige rápidamente a un contaboserver[.]net URL para descargar el archivo ZIP. El archivo contiene un Visual Basic Script (VBS) malicioso que, al ejecutarse, lanza un archivo ejecutable con un nombre asignado aleatoriamente. Los propios ejecutables no se pudieron recuperar del sistema infectado. Sin embargo, el equipo de malware de X-Force analizó el VBS malicioso para recuperar el ejecutable, que resultó ser un Grandoreiro Loader.

X-Force rastrea a los distribuidores que entregan el troyano bancario Grandoreiro, que se sabe que atacan a entidades de México y Brasil, aunque se han observado objetivos en España, Colombia y Costa Rica. Grandoreiro es un troyano bancario multicomponente que probablemente opera como Malware como servicio (MaaS), con características como descifrado de cadenas, algoritmo de generación de dominios (DGA), así como la capacidad de utilizar clientes de Microsoft Outlook en hosts infectados para difundir más correos electrónicos de phishing. Grandoreiro contiene una gran lista codificada de aplicaciones bancarias específicas que utiliza para enumerar los dispositivos de las víctimas, robar credenciales y cometer fraudes.

X-Force rastrea al menos tres distribuidores que implementan diferentes versiones del troyano bancario Grandoreiro, dos identificados como Hive0148 y Hive0149, y un tercero en desarrollo. Los distribuidores de Grandoreiro se agrupan en función de ciertas tácticas, técnicas y procedimientos (TTP), como los atributos de la cadena de infección, incluido el uso de diferentes cargadores y técnicas de comando y control (C2), temas de phishing, objetivos e indicadores de compromiso (IOC). Las campañas de phishing que distribuyen Grandoreiro suelen contener temas relacionados con los Servicios de Administración Tributaria, la Comisión Federal de Electricidad (CFE), la facturación electrónica, los bancos nacionales y los tribunales federales/notificaciones legales.