Depuis mars Depuis mars 2024, X-Force a observé des campagnes de hameçonnage usurpant l’identité du Service de l’administration fiscale (SAT) du Mexique, de la Commission fédérale de l’électricité (CFE) du Mexique, du Secrétariat à l’Administration et aux Finances de la ville de Mexico et de l’administration fiscale argentine. Les e-mails ciblent les utilisateurs en Amérique latine, y compris les domaines de premier niveau (TLD) du Mexique, de la Colombie et du Chili « .mx », « .co » et « .cl ». Toute identité réelle a été masquée des images pour des raisons de confidentialité.

La première campagne semble être une tentative pour paraître officielle et urgente, et informe la cible qu’elle reçoit un avis final concernant un débit des frais d’enregistrement des contribuables fédéraux (RFC) qui n’a pas été payé. En cas de non-paiement, les conséquences peuvent inclure des pénalités, des amendes et un blocage du numéro d’identification fiscale de l’utilisateur, affectant la capacité de la cible à faire des affaires et à accéder légalement aux services gouvernementaux. Une autre campagne usurpe l’identité de la Commission fédérale de l’électricité (CFE) du Mexique et rappelle au destinataire qu’il s’est abonné à CFEMail, et qu’il peut donc accéder à son relevé de compte au format PDF et XML en cliquant sur l’un des liens intégrés. Une troisième campagne, imitant celle du Secrétariat à l'Administration et aux Finances, invite le destinataire à cliquer sur un PDF pour lire les détails d’un avis de conformité. Une campagne imitant l'administration fiscale argentine demande à l’utilisateur de télécharger un nouveau document fiscal et de prendre les mesures nécessaires.

Dans chaque campagne, les destinataires sont invités à cliquer sur un lien pour consulter une facture ou des frais, un relevé de compte, effectuer un paiement, etc., selon l’entité dont l’identité a été usurpée. Si l’utilisateur qui clique sur les liens se trouve dans un pays spécifique (selon la campagne : Mexique, Chili, Espagne, Costa Rica, Pérou ou Argentine), il est redirigé vers une image d’icône PDF, et un fichier ZIP est téléchargé en arrière-plan. Les fichiers ZIP contiennent un gros exécutable déguisé avec une icône PDF, dont on a constaté qu’il avait été créé la veille ou le jour de l’envoi de l’e-mail.