Sejak Maret 2024, X-Force telah mengamati kampanye phishing yang menyamar sebagai Layanan Administrasi Pajak Meksiko (SAT), Komisi Listrik Federal Meksiko (CFE), Sekretaris Administrasi dan Keuangan untuk kota Meksiko, dan Dinas Pendapatan Argentina. Email tersebut menargetkan pengguna di Amerika Latin, termasuk domain tingkat atas (TLD) dari Meksiko, Kolombia, dan Chili ".mx", ".co", dan ".cl". Setiap identitas asli telah disunting dari gambar untuk privasi pribadi.

Kampanye pertama tampaknya merupakan upaya untuk dianggap resmi dan mendesak dan memberi tahu target bahwa mereka menerima pemberitahuan akhir mengenai debit ke Biaya Pendaftaran Wajib Pajak Federal (RFC) yang belum dibayar. Jika tidak dibayar, konsekuensinya dapat mencakup hukuman, denda, dan pemblokiran nomor identifikasi pajak pengguna yang memengaruhi kemampuan target untuk melakukan bisnis dan mengakses layanan pemerintah secara legal. Kampanye tambahan menyamar sebagai Komisi Listrik Federal Meksiko (CFE) dan mengingatkan penerima bahwa mereka berlangganan CFEmail, dan karenanya dapat mengakses pernyataan akun mereka dalam format PDF dan XML dengan mengklik salah satu tautan yang disematkan. Kampanye ketiga meniru Sekretaris Administrasi dan Keuangan, mengarahkan penerima untuk mengklik PDF untuk membaca detail mengenai pemberitahuan kepatuhan. Kampanye yang meniru Revenue Service of Argentina menginstruksikan pengguna untuk mengunduh dokumen pajak baru dan mengambil tindakan yang berlaku.

Dalam setiap kampanye, penerima diinstruksikan untuk mengklik tautan untuk melihat faktur atau biaya, pernyataan akun, melakukan pembayaran, dll. tergantung pada entitas yang ditiru. Jika pengguna yang mengklik tautan berada di negara tertentu (tergantung pada kampanye, Meksiko, Chili, Spanyol, Kosta Rika, Peru, atau Argentina), mereka diarahkan ke gambar ikon PDF, dan file ZIP diunduh di latar belakang. File ZIP berisi file eksekusi besar yang disamarkan dengan ikon PDF, ditemukan telah dibuat sehari sebelum, atau hari email dikirim.