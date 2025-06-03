Pada awal Mei 2025, IBM X-Force mengamati Hive0131 melakukan kampanye email yang menargetkan pengguna di Kolombia dengan pemberitahuan elektronik tentang proses pidana, yang konon berasal dari The Judiciary of Colombia. Hive0131 adalah kelompok bermotivasi finansial yang kemungkinan berasal dari Amerika Selatan yang secara rutin melakukan kampanye sebagian besar di Amerika Latin (LATAM) untuk mengirimkan beragam muatan komoditas. Kampanye saat ini meniru korespondensi resmi dan berisi tautan tertanam atau umpan PDF dengan tautan yang disematkan. Mengklik tautan yang disematkan akan Initiate® rantai infeksi untuk mengeksekusi trojan perbankan "DCrat" dalam memori.

DCRAT dioperasikan sebagai Malware-as-a-Service (MaaS), pertama kali muncul setidaknya pada tahun 2018, dan banyak diiklankan di forum kejahatan siber Rusia, dapat dibeli dengan harga sekitar USD 7 untuk langganan dua bulan. Kehadiran DCRAT tersebar luas dan telah menjadi makin populer di LATAM setidaknya sejak 2024. Selama musim panas 2024, X-Force mengamati beberapa kampanye yang banyak menargetkan entitas di Kolombia, semuanya meniru perusahaan LATAM yang mengkhususkan diri dalam ekosistem dokumen elektronik di Meksiko dan Kolombia. Namun, mengingat perbedaan dalam rantai infeksi dan pengiriman dCRAT, X-Force menilai bahwa kampanye 2024 dan saat ini dilakukan oleh aktor yang berbeda. Kampanye yang diamati pada tahun 2024 sangat bergantung pada file RAR yang dilindungi kata sandi yang berisi NSIS untuk menjalankan pengunduh GuLoader, sedangkan kampanye baru-baru ini bergantung pada pemuat.NET yang kabur yang kami beri nama VMDetectLoader.