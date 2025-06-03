2025년 5월 초, IBM X-Force는 Hive0131이 콜롬비아 사법부를 사칭하여 콜롬비아 사용자들을 대상으로 형사 소송 절차에 대한 전자 통지를 발송하는 이메일 캠페인을 벌이는 것을 관찰했습니다. Hive0131은 남미 출신으로 추정되는 금전적 동기를 가진 그룹으로, 주로 라틴 아메리카(LATAM)에서 다양한 상품 페이로드를 전달하기 위해 정기적으로 캠페인을 수행합니다. 현재 캠페인은 공식 서신을 모방하여 임베드된 링크 또는 임베드된 링크가 포함된 PDF 미끼를 포함하고 있습니다. 포함된 링크를 클릭하면 감염 체인이 시작되어 메모리에서 뱅킹 트로이 목마 'DCRat'이 실행됩니다.

DCRat은 최소 2018년에 처음 등장한 MaaS(Malware-as-a-Service)로 운영되며 러시아 사이버 범죄 포럼에 많이 광고되고 있으며, 2개월 구독료로 약 7달러에 구매할 수 있습니다. DCRat의 존재는 널리 퍼져 있으며 적어도 2024년부터 중남미 지역에서 점점 더 인기를 얻고 있습니다. 2024년 여름, X-Force는 멕시코와 콜롬비아의 전자 문서 에코시스템을 전문으로 하는 LATAM 회사 모방하여 콜롬비아의 기업을 표적으로 삼는 여러 캠페인을 관찰했습니다. 그러나 감염 사슬과 DCRat 전달의 차이를 고려할 때 X-Force는 2024년과 현재의 캠페인이 다양한 행위자에 의해 수행되었다고 평가합니다. 2024년에 관찰된 캠페인은 GuLoader 다운로더를 실행하기 위해 NSIS가 포함된 비밀번호로 보호된 RAR 파일에 크게 의존했지만, 최근의 캠페인은 VMDetectLoader라는 난독화된 .NET 로더에 의존합니다.