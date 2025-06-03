2025年5月初旬、IBM® X-Forceは、Hive0131が、コロンビアの司法機関からのものであると称して、刑事訴訟の電子通知とともにコロンビアのユーザーを対象としたEメール・キャンペーンを実施しているのを発見しました。Hive0131は、おそらく南米を拠点とする金銭目的のグループであり、主にラテン・アメリカ（LATAM）で日常的にキャンペーンを実施し、さまざまなコモディティ・ペイロードを提供しています。現在のキャンペーンは、公式の通信を模倣し、埋め込みリンクまたは埋め込みリンクを含むPDFルアーを含めています。埋め込まれたリンクをクリックすると、感染チェーンがInitiateされ、メモリー内でバンキング型トロイの木馬「DCRat」が実行されます。

DCRatはサービスとしてのマルウェア（MaaS）として運営されており、少なくとも2018年に初めて登場し、ロシアのサイバー犯罪フォーラムで大々的に宣伝され、2カ月のサブスクリプションは約7米ドルで購入できます。DCRatの存在は広く、少なくとも2024年以降、中南米でますます人気が高まっています。2024年の夏にかけて、X-Forceはコロンビアの組織を重点的に標的にしたいくつかのキャンペーンを発見しましたが、すべてメキシコとコロンビアの電子文書エコシステムを専門とするLATAM企業を模倣しています。しかしX-Forceは、感染チェーンとDCRatの配信の違いを考慮して、2024年と現在のキャンペーンは異なる攻撃者によって実施されたと評価しています。2024年に発見されたキャンペーンは、GuLoaderのダウンローダーを実行するために、NSISを含むパスワードで保護されたRARファイルに大きく依存していましたが、最近のキャンペーンは、VMDetectLoaderと名付けた難読化された.NETローダーに依存しています。