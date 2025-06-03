All'inizio di maggio 2025, IBM X-Force ha osservato Hive0131 condurre campagne e-mail rivolte agli utenti in Colombia con notifiche elettroniche di procedimenti penali, presumibilmente provenienti dalla Magistratura della Colombia. Hive0131 è un gruppo finanziariamente motivato, probabilmente originario del Sud America, che conduce abitualmente campagne in gran parte in America Latina (LATAM) per consegnare un'ampia gamma di carichi di merci. Le campagne attuali imitano la corrispondenza ufficiale e contengono o un link incorporato o un'esca PDF con un link incorporato. Fare clic sul link incorporato avvierà la catena di infezione per eseguire il trojan bancario "DCRat" in memoria.

DCRat è gestito come Malware-as-a-Service (MaaS), apparso per la prima volta almeno nel 2018 e ampiamente pubblicizzato sui forum russi dedicati alla criminalità informatica, ed è acquistabile per circa 7 USD per un abbonamento di due mesi. La presenza di DCRat è diffusa ed è diventata sempre più popolare in LATAM almeno dal 2024. Durante l'estate del 2024, X-Force ha osservato diverse campagne che hanno preso di mira pesantemente le entità in Colombia, imitando in tutti i casi un'azienda LATAM specializzata in ecosistemi di documenti elettronici in Messico e Colombia. Tuttavia, date le differenze nella catena di infezione e nella distribuzione di DCRat, X-Force ritiene che le campagne del 2024 e quelle attuali siano state condotte da attori diversi. Le campagne osservate nel 2024 si basavano in larga misura su file RAR protetti da password contenenti NSIS per eseguire un downloader GuLoader, mentre queste campagne recenti si basano su un caricatore .NET offuscato che abbiamo chiamato VMDetectLoader.