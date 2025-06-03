Début mai 2025, IBM X-Force a observé que Hive0131 menait des campagnes d’e-mail ciblant les utilisateurs en Colombie avec des notifications électroniques de procédures pénales, prétendant provenir de la Justice colombienne. Hive0131 est un groupe financièrement motivé, probablement originaire d’Amérique du Sud, qui mène régulièrement des campagnes principalement en Amérique latine (LATAM) pour livrer un large éventail de charges utiles courantes. Les campagnes actuelles imitent la correspondance officielle et contiennent soit un lien intégré, soit un leurre PDF avec un lien intégré. Cliquer sur le lien déclenche la chaîne d’infection, exécutant en mémoire le cheval de Troie bancaire « DCRat ».

DCRat, exploité comme logiciel malveillant à la demande (MaaS), est apparu pour la première fois en 2018, peut-être avant. Il largement promu sur les forums russes de cybercriminalité et proposé sur abonnement au tarif de 7 dollars USD environ pour deux mois. La présence de DCRat est très importante, et sa popularité ne cessé de croître en Amérique latine depuis 2024, voire avant. Au cours de l’été 2024, X-Force a observé plusieurs campagnes ciblant fortement des entités en Colombie, toutes imitant une entreprise LATAM spécialisée dans les écosystèmes de documents électroniques au Mexique et en Colombie. Toutefois, compte tenu des différences dans la chaîne d’infection et la fourniture de DCRat, X-Force pense que les campagnes de 2024 et celles d’aujourd’hui ont été menées par des acteurs différents. Les campagnes observées en 2024 s’appuyaient fortement sur des fichiers RAR protégés par mot de passe contenant des NSIS pour exécuter un téléchargeur GuLoader, alors que les campagnes récentes reposent sur un chargeur .NET dissimulé que nous avons appelé VMDetectLoader.