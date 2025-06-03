A principios de mayo de 2025, IBM X-Force observó que Hive0131 llevaba a cabo campañas de correo electrónico dirigidas a usuarios de Colombia con notificaciones electrónicas de procedimientos penales, que pretendían provenir del Poder Judicial de Colombia. Hive0131 es un grupo motivado financieramente, probablemente originario de América del Sur, que realiza campañas de forma rutinaria en gran medida en América Latina (LATAM) para ofrecer una amplia gama de cargas útiles de productos básicos. Las campañas actuales imitan la correspondencia oficial y contienen un enlace incrustado o un señuelo PDF con un enlace incrustado. Al hacer clic en el enlace incrustado, se iniciará la cadena de infección para ejecutar el troyano bancario "DCRat" en la memoria.
DCRat funciona como malware como servicio (MaaS), apareció por primera vez al menos en 2018 y se anuncia mucho en los foros rusos de delitos cibernéticos, que se pueden comprar por alrededor de 7 USD por una suscripción de dos meses. La presencia de DCRat es generalizada y se ha vuelto cada vez más popular en LATAM desde al menos 2024. Durante el verano de 2024, X-Force observó varias campañas dirigidas principalmente a entidades en Colombia, todas imitando a una compañía LATAM especializada en ecosistemas de documentos electrónicos en México y Colombia. Sin embargo, dadas las diferencias en la cadena de infección y la entrega de DCRat, X-Force evalúa que las campañas de 2024 y actuales fueron realizadas por diferentes actores. Las campañas observadas en 2024 dependían en gran medida de archivos RAR protegidos por contraseña que contenían NSIS para ejecutar un descargador de GuLoader, mientras que estas campañas recientes dependen de un cargador .NET ofuscado al que llamamos VMDetectLoader.
DCRat viene con complementos que son capaces de realizar las siguientes tareas, aunque los actores de amenazas pueden crear complementos personalizados para realizar tareas adicionales:
MaaS
A principios de mayo de 2025, X-Force observó campañas de correo electrónico Hive0131 que imitaban a la Rama Judicial de Colombia, que pretendía ser del Circuito Civil de Bogotá, Colombia, para enviar notificaciones electrónicas de procesos penales. Las campañas observadas contienen un señuelo PDF con un enlace a una TinyURL o contienen un enlace incrustado a una ubicación de Google Docs.
Descripción general de la cadena de infección - PDF con TinyURL
Para los correos electrónicos que contiene un señuelo PDF que conduce a un tinyurl, la víctima es redirigida a un archivo postal llamado 1Juzgado 08 Civil Circuito de Bogotá Notificación electrónica Orden de Embargo.Uue. El archivo ZIP contiene archivos benignos, así como un archivo JavaScript malicioso llamado 1Juzgado 08 Civil Circuito de Bogotá Notificación electrónica Orden de Embargo.js. El archivo JavaScript descarga una carga útil de JavaScript de un sitio paste[.]ee y lo ejecuta. Luego, esta carga útil ejecuta un comando de PowerShell que descarga un JPG de hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg con un cargador codificado en base64 adjunto al final del archivo. Una vez ejecutado, el cargador descarga y ejecuta DCRat en la memoria.
El cargador recibe el nombre de VMDetectLoader debido a su capacidad para determinar si se está ejecutando en un entorno de sandbox. El análisis indica que el cargador se basa en el proyecto de código abierto https://github.com/robsonfelix/VMDetector.
Resumen de la cadena de infección: enlace integrado a Google Docs.
Esta cadena de infección se inicia con correos electrónicos de phishing que contienen un enlace a una descarga de Google Docs de un archivo ZIP protegido con contraseña llamado CUI 158616000129-2025-10047_122011111777.zip, cuya contraseña se encuentra en el correo electrónico y es 3004. El archivo contiene un descargador de archivos por lotes, CUI 158616000129-2025-10047_122011111777.bat, que descarga y ejecuta un componente ofuscado de VBScript (VBS) de
A continuación, VMDetectLoader descarga la carga útil final mediante un archivo de pega [.] ee URL pasada por el script de PowerShell.
VMDetectLoader es un cargador .NET ofuscado (Microsoft.Win32.TaskScheduler.dll) que se puede encontrar en VirusTotal en https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7. El análisis de los metadatos del cargador indica que el código se basa en el proyecto de código abierto https://github.com/robsonfelix/VMDetector.
Atributos del ensamblaje:
Antes de cargar la carga útil, el cargador detecta máquinas virtuales e imprime una lista de atributos de host en la consola si se detecta una VM. Por ejemplo:
Funcionalidad
VMDetectLoader se ejecuta a través de su función
Argumento
Descripción
$storeman
URL de Pastee invertida desde la que se descarga una carga útil codificada en base64.
MSBuilld
Proceso de inyección por objetivos
C:\Users\Public\Downloads
Ruta utilizada para crear una tarea programada:
C:\Users\Public\Downloads\rhabdosteus.js
1
Indicador que señala verificaciones de procesos.
bimetalismo
Nombre de la tarea programada
Durante la ejecución, VMDetectLoader, XOR descifra cadenas notables según sea necesario del recurso .NET "hIXS".
Muestras de cadenas descifradas
Persistencia
Si se configura para hacerlo, se crea una tarea programada para ejecutar el siguiente comando de PowerShell que descarga y ejecuta una carga útil de JavaScript:
Se puede crear otra tarea, si está configurada, para ejecutar la carga útil de JavaScript mediante el siguiente comando:
El cargador también puede crear una clave de ejecución del Registro para ejecutar la carga útil:
Inyección de proceso
VMDetectLoader tiene la capacidad de utilizar la técnica de inyección de vaciado de procesos para cargar una carga útil en diferentes instancias de proceso de destino. Por ejemplo, para la campaña analizada, C:\Windows\Microsoft.NET\infraestructura\v4.0.30319\MSBuild.exe (32 bits) o C:\Windows\Microsoft.NET\infraestructura64\v4.0.30319\MSBuild.exe (64 bits) es el proceso de destino. La función responsable de la inyección del proceso se denomina HackForums.gigajew.x64.Load() para las muestras de 64 bits y dnlib.IO.Tools.Ande() para las muestras de 32 bits.
Proceso de inyección de vaciado:
Si VMDetectLoader determina que está funcionando en un entorno seguro, la carga útil final se carga mediante hollowing de procesos. En este caso, la carga útil final es DCRat con los siguientes datos de configuración.
X-Force rastrea varios grupos que operan en el panorama de amenazas de América Latina que realizan campañas de correo electrónico que entregan MaaS con el fin de obtener ganancias financieras. Entre los grupos rastreados se encuentran Hive0148 y Hive0149, que se centran en la entrega del troyano bancario Grandoriero, Hive0153 que entrega el malware Adwind y SambaSpy, y Hive0131. Aunque Hive0131 normalmente se centra en operaciones con la entrega de malware como QuasarRAT y NjRAT, X-Force ha observado un aumento en las campañas que involucran a DCRat. Con la observancia constante y continua del malware entregado a los usuarios dentro de LATAM, IBM X-Force evalúa que América Latina Continuará enfrentar ataques de actores de amenazas que buscan desplegar troyanos bancarios mediante campañas de phishing para obtener credenciales y otra información sensible.
Se recomienda a las entidades de LATAM que tengan cuidado con los correos electrónicos que contengan archivos adjuntos, enlaces o que contengan instrucciones para descargar archivos. Además, se recomienda a las entidades realizar lo siguiente:
Indicador
Tipo de indicador
Contexto
4ce1d456fa8831733ac01c4a2a32044b6581664d3
SHA256
Carrier File
6a632d8356f42694adb21c064aa9e8710b65addd
SHA256
ZIP Archiv
1603c606d62e7794da09c51ca7f321bb555044916
SHA256
DCRat
ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
SHA256
JS
0df13fd42fb4a4374981474ea87895a3830eddcc7f3
SHA256
Cargador .NET ofuscado
db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
SHA256
ZIP Archiv
3c95678d140825b56e04298ce6238ce22b34611d25
SHA256
PS Script
7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
SHA256
PS Script
b16588e0e2c6a0c8ff080ded57abe8159008d040ae
SHA256
Descargador de scripts por lotes
hxxps://tinyurl[.]com/2ypy4jrz?ID=5541213d-0ED8
URL
Enlace PDF incrustado
hxxp://paste[.]EE/D/BX699SF9/0
URL
URL de descarga de la carga útil
hxxps://docs[.]Google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
URL
Enlace de correo electrónico incrustado
hxxp://paste[.]ee/d/jYHEqBJ3/0
URL
URL de descarga de la carga útil
hxxps://archive[.]org/download/new_ABBAS/new_
URL
URL de descarga JPG
hxxps://ia601205.us.archive[.]org/26/items/new_
URL
URL de descarga JPG
